Trong thông báo mới đây vào 24/5/2023 của WordPress Security. Một lỗ hổng, trong plugin Beautiful Cookie Consent Banner dành cho WordPress cho phép kẻ tấn công khai thác tham số nsc_bar_content_href trong các phiên bản từ 2.10.1 trở xuống.
Cụ thể, nhóm Threat Intelligence của Wordfence đã phát hiện một cuộc tấn công XSS quy mô lớn đối với một lỗ hổng trong plugin Beautiful Cookie Consent Banner của WordPress. Lỗ hổng này đã được vá hoàn toàn trong phiên bản 2.10.2, nhưng các tấn công vẫn đang tiếp diễn. Lỗ hổng cho phép kẻ tấn công chưa xác thực có khả năng tiêm mã JavaScript độc hại vào trang web, gây ra chuyển hướng đến các trang web quảng cáo độc hại và tạo người dùng quản trị độc hại.
Tất cả các trang web được bảo vệ bởi Wordfence, bao gồm Wordfence Free, Wordfence Premium, Wordfence Care và Wordfence Response, đều được bảo vệ chống lại lỗ hổng này thông qua tính năng Built-in Cross-Site Scripting của Wordfence Firewall. Tuy nhiên, nếu trang web của bạn đang chạy phiên bản cũ của plugin và bạn không sử dụng Wordfence hoặc một Web Application Firewall khác, cuộc tấn công này vẫn có khả năng làm hỏng cấu hình của plugin và gây sự cố về chức năng. Do đó, Wordfence khuyến nghị cập nhật ngay lên phiên bản mới nhất, hiện là phiên bản 2.13.0.
Theo Wordfence, cuộc tấn công này có thể là công việc của một kẻ tấn công đơn lẻ, vì mỗi cuộc tấn công đều chứa một phần mã onmouseenter=" mà không có mã JavaScript hoạt động nào khác. Có thể rằng kẻ tấn công đang sử dụng một công cụ khai thác không được cấu hình đúng, cần một mã tùy chỉnh, và kẻ tấn công đã quên cung cấp mã tùy chỉnh đó.
Mặc dù cuộc tấn công hiện tại không chứa mã độc hại, việc cập nhật plugin để khắc phục lỗ hổng là rất quan trọng để tránh gây hỏng cấu hình và ngăn chặn các cuộc tấn công tiềm ẩn. Nếu trang web của bạn bị ảnh hưởng bởi cuộc tấn công này hoặc cuộc tấn công trước đó, có thể đã làm thay đổi tùy chọn nsc_bar_bannersettings_json trong cơ sở dữ liệu. Nhà phát triển plugin đã bao gồm chức năng để khắc phục các thay đổi do cuộc tấn công này gây ra trong các phiên bản đã vá lỗ hổng.
» Xem thêm: Astra theme - Lựa chọn tốt nhất để tạo trang web nhanh chóng và dễ dàng
Người dùng cần làm gì?
Đối với người dùng sử dụng dịch vụ hosting tại Gofiber và được bảo về bởi nhiều lớp bảo mật từ server thì đây là vấn đề không đáng lo ngại. Tuy nhiên, Gofiber vẫn khuyên các khách hàng và người dùng WordPress thực hiện các bước bảo mật sau để hạn chế việc thiệt hại có thể xảy ra.
1. Cập nhật plugin: Đảm bảo rằng bạn đã cập nhật plugin Beautiful Cookie Consent Banner lên phiên bản mới nhất (hiện là phiên bản 2.13.0). Việc này sẽ khắc phục lỗ hổng bảo mật và giúp ngăn chặn các cuộc tấn công XSS.
2. Sử dụng Wordfence hoặc Web Application Firewall (WAF): Nếu bạn đang sử dụng WordPress và chưa có biện pháp bảo vệ nào, hãy cài đặt và kích hoạt Wordfence hoặc một WAF khác. Wordfence Firewall đã tích hợp sẵn bảo vệ chống XSS, giúp ngăn chặn các cuộc tấn công từ lỗ hổng này và các cuộc tấn công khác.
**Tính năng này có sẵn trên các máy chủ VPS của cung cấp bởi Gofiber, nếu quý khách gặp vấn đề khó trong việc kích hoạt tính năng này, hãy liên hệ với đội ngũ kỹ thuật để được hỗ trợ.
3. Xem xét kiểm tra xem trang web của bạn có bị ảnh hưởng không: Kiểm tra xem trang web của bạn có chạy phiên bản cũ và có bị tấn công không. Kiểm tra các file logs của máy chủ hoặc sử dụng các công cụ giám sát như Wordfence để phát hiện các hoạt động bất thường hoặc các yếu tố đáng ngờ.
4. Thông báo cho người khác: Nếu bạn biết những người khác đang sử dụng plugin Beautiful Cookie Consent Banner, hãy chia sẻ thông báo này với họ. Điều này sẽ giúp họ nhận biết rủi ro và cập nhật plugin của họ để đảm bảo an toàn cho trang web của họ.
5. Theo dõi và báo cáo các hoạt động đáng ngờ: Tiếp tục theo dõi hoạt động trên trang web của bạn và xem xét các yếu tố đáng ngờ như các requests không xác định hoặc các IP address lạ xuất hiện trong file logs. Nếu bạn phát hiện bất kỳ hoạt động đáng ngờ nào, hãy báo cáo cho nhóm quản lý hệ thống hoặc sử dụng dịch vụ Incident Response như Wordfence Care để giúp xử lý tình huống.
6. Theo dõi các bản vá và thông báo bảo mật: Tiếp tục theo dõi thông báo bảo mật từ các nhà phát triển plugin và nhóm bảo mật như Wordfence để được cập nhật về các lỗ hổng mới và các bản vá. Điều này giúp bạn giữ trang web của mình an toàn và phòng tránh các cuộc tấn công tiền ẩn.
Thông tin chi tiết nội dung thông báo từ WordFence: https://www.wordfence.com/blog/2023/05/wordfence-firewall-blocks-bizarre-large-scale-xss-campaign
Gofiber là công ty công nghệ cung cấp dịch vụ hosting và cho thuê VPS giá rẻ hiệu năng cao hàng đầu tại Việt Nam. Giải pháp máy chủ điện toán đám mây (cloud server/cloud VPS) của Gofiber được xây dựng trên nền tảng công nghệ ảo hóa tiên tiến KVM cùng hệ thống hạ tầng mạnh mẽ, Nhiều Data Center, Hỗ trợ đa dạng hệ điều hành, VPS KVM tối ưu hóa cho hiệu năng cao, Miễn phí DirectAdmin chính hãng, VPS SSD - ổ cứng SSD Enterprise hiệu năng đọc ghi cao.
