Tấn công chuỗi cung ứng: Hàng chục plugin WordPress bị cài cửa sau sau khi đổi chủ sở hữu

Hàng chục tiện ích mở rộng (plugin) của nền tảng blog mã nguồn mở phổ biến WordPress hiện đã bị gỡ bỏ sau khi phát hiện một cửa sau (backdoor) được cài đặt trong chúng. Cửa sau này được sử dụng để đẩy mã độc đến bất kỳ trang web nào đang sử dụng các plugin này. Lỗ hổng này được phát hiện sau khi một chủ sở hữu doanh nghiệp mới mua lại các plugin nói trên.

Chi tiết cuộc tấn công chuỗi cung ứng

Austin Ginder, người sáng lập Anchor Hosting, đã đưa ra cảnh báo trong một bài đăng blog vào tuần trước, mô tả một cuộc tấn công chuỗi cung ứng nhắm vào nhà sản xuất plugin WordPress có tên Essential Plugin. Ginder cho biết một cá nhân đã mua lại Essential Plugin vào năm ngoái và ngay sau đó, cửa sau đã được thêm vào mã nguồn của các plugin.

Cửa sau này nằm im lìm (dormant) cho đến đầu tháng này khi nó được kích hoạt và bắt đầu phân phối mã độc đến mọi trang web có cài đặt các plugin này.

Quy mô ảnh hưởng

Essential Plugin tuyên bố trên trang web của mình rằng họ có hơn 400.000 lượt cài đặt plugin và hơn 15.000 khách hàng. Trang cài đặt plugin của WordPress cho biết các plugin bị ảnh hưởng đang có mặt trên hơn 20.000 cài đặt WordPress đang hoạt động.

Rủi ro từ việc thay đổi quyền sở hữu

Plugin cho phép chủ sở hữu trang web WordPress mở rộng chức năng của trang, nhưng trong quá trình đó, họ cấp cho plugin quyền truy cập vào cài đặt của mình. Điều này có thể mở các trang web này cho các tiện ích mở rộng độc hại và nguy cơ bị xâm nhập. Tuy nhiên, Ginder cảnh báo rằng người dùng WordPress không nhận được thông báo về bất kỳ sự thay đổi quyền sở hữu nào của plugin, khiến người dùng dễ bị tấn công chiếm đoạt bởi các chủ sở hữu mới.

Theo Ginder, đây là vụ thứ hai trong số các vụ tấn công plugin WordPress được phát hiện trong vòng hai tuần qua. Các nhà nghiên cứu bảo mật từ lâu đã cảnh báo về rủi ro của việc các tác nhân độc hại mua lại phần mềm và thay đổi mã của nó để xâm phạm một số lượng lớn máy tính trên toàn thế giới.

Khuyến cáo cho người dùng

Mặc dù các plugin đã bị xóa khỏi thư mục của WordPress và hiện liệt kê việc đóng cửa của chúng là "vĩnh viễn", Ginder cảnh báo rằng chủ sở hữu WordPress nên kiểm tra xem họ vẫn còn cài đặt bất kỳ plugin độc hại nào không và gỡ bỏ nó ngay lập tức. Ginder đã công bố danh sách các plugin bị ảnh hưởng trong bài đăng blog của mình.

"Người dùng cần kiểm tra kỹ danh sách các plugin đã cài đặt và gỡ bỏ ngay lập tức bất kỳ tiện ích nào thuộc danh sách bị ảnh hưởng để đảm bảo an toàn cho trang web," Ginder nhấn mạnh.