Các cuộc tấn công đang diễn ra đang nhắm vào lỗ hổng Unauthenticated Stored Cross-Site Scripting (XSS) trong plugin đồng ý cookie WordPress có tên Beautiful Cookie Consent Banner với hơn 40.000 lượt cài đặt đang hoạt động.

Trong các cuộc tấn công XSS, các tác nhân đe dọa tiêm các tập lệnh JavaScript độc hại vào các trang web dễ bị tấn công sẽ thực thi trong trình duyệt web của khách truy cập. Lỗ hổng có thể khiến kẻ tấn công truy câp trái phép vào thông tin nhạy cảm, chiếm quyền điều khiển phiên, lây nhiễm mã độc thông qua việc chuyển hướng đến các trang web độc hại, hoặc đánh cắp toàn bộ hệ thống mục tiêu.

Công ty bảo mật WordPress Defiant đã phát hiện ra các cuộc tấn công, cho biết lỗ hổng được đề cập cũng cho phép những kẻ tấn công chưa được xác thực tạo tài khoản quản trị giả mạo trên các trang web WordPress chạy các phiên bản plugin chưa được vá (lên đến và bao gồm 2.10.1).

Lỗ hổng bảo mật được khai thác trong chiến dịch này đã được vá vào tháng 1 với việc phát hành phiên bản 2.10.2.

Nhà phân tích mối đe dọa Ram Gall cho biết “Theo hồ sơ của chúng tôi, lỗ hổng đã bị tấn công tích cực kể từ ngày 5/2/2023 và đây là cuộc tấn công lớn nhất chúng tôi từng thấy. Chúng tôi đã chặn gần 3 triệu cuộc tấn công vào hơn 1,5 triệu trang web, từ gần 14.000 địa chỉ IP kể từ ngày 23/5/2023 và các cuộc tấn công đang tiếp diễn”.

Blocked attacks

Mặc dù chiến dịch tấn công đang diễn ra với quy mô lớn, Gall cho biết tác nhân đe dọa sử dụng khai thác được định cấu hình sai do vậy có thể không chạy được mã khai thác ngay cả khi nhắm vào một trang web WordPress chạy phiên bản plugin có lỗ hổng.

Mặc dù vậy, quản trị viên hoặc chủ sở hữu của các trang web sử dụng plugin Beautiful Cookie Consent Banner được khuyến cáo cập nhật nó lên phiên bản mới nhất vì ngay cả một cuộc tấn công thất bại cũng có thể làm hỏng cấu hình của plugin được lưu trữ trong tùy chọn nsc_bar_bannersettings_json.

Các bản vá của plugin cũng đã được cập nhật để tự sửa chữa trong trường hợp trang web bị nhắm mục tiêu trong các cuộc tấn công này.

Mặc dù làn sóng tấn công hiện tại có thể không thể tiêm các trang web có tải trọng độc hại, nhưng tác nhân đe dọa đằng sau chiến dịch này có thể giải quyết vấn đề bất cứ lúc nào và có khả năng lây nhiễm bất kỳ trang web nào vẫn bị lộ.