Smart Slider 3 Pro phát tán mã độc qua kênh cập nhật chính thức, đe dọa hàng loạt website

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.796 bài viết
Smart Slider 3 Pro phát tán mã độc qua kênh cập nhật chính thức, đe dọa hàng loạt website
WhiteHat Team
Hệ thống cập nhật của Smart Slider 3 Pro, một trong những plugin tạo trình chiếu phổ biến nhất với hơn 800.000 lượt cài đặt, đã trở thành mục tiêu của một vụ tấn công chuỗi cung ứng. Kẻ tấn công đã xâm nhập hạ tầng cập nhật của nhà phát triển Nextend và phát hành phiên bản 3.5.1.35 chứa mã độc backdoor thông qua kênh phân phối chính thức. Theo ghi nhận từ các chuyên gia bảo mật tại Patchstack, phiên bản này đã biến một plugin hợp pháp thành công cụ thực thi mã độc trên diện rộng, ảnh hưởng đến các website WordPress và Joomla trong quá trình cập nhật tự động.
Smart Slider 3 Pro.png

Theo Patchstack, một nhóm tấn công chưa xác định danh tính đã xâm nhập vào hệ thống cập nhật của Nextend và đưa lên kênh phân phối chính thức một bản build độc hại do chính họ kiểm soát. Các website thực hiện cập nhật trong khoảng thời gian từ ngày 7/4/2026 đến khi sự cố được phát hiện đều có nguy cơ bị nhiễm mã độc. Nextend sau đó xác nhận hệ thống cập nhật đã bị truy cập trái phép, trong đó phiên bản 3.5.1.35 Pro chứa mã độc tồn tại trong khoảng 6 giờ trước khi bị phát hiện và gỡ bỏ, nhưng vẫn đủ để tạo ra phạm vi ảnh hưởng rộng do cơ chế cập nhật tự động.

Phân tích kỹ thuật cho thấy bản cập nhật bị thay đổi không chỉ chứa mã độc đơn lẻ mà là một bộ công cụ tấn công hoàn chỉnh. Thành phần độc hại cho phép tạo tài khoản quản trị ẩn để duy trì truy cập lâu dài, đồng thời triển khai cơ chế thực thi lệnh từ xa thông qua HTTP header và các tham số yêu cầu ẩn. Kẻ tấn công có thể thực thi mã từ xa thông qua các HTTP header như X-Cache-Status và X-Cache-Key, trong đó X-Cache-Key chứa trực tiếp đoạn mã được truyền vào hàm shell_exec trên máy chủ. Backdoor hỗ trợ hai chế độ hoạt động gồm thực thi mã PHP tùy ý và thực thi lệnh hệ điều hành, qua đó cho phép kiểm soát toàn bộ máy chủ bị ảnh hưởng.

Mã độc đồng thời tạo một tài khoản quản trị ẩn với định danh dạng wpsvc_a3f1 và che giấu tài khoản này khỏi giao diện WordPress bằng cách can thiệp vào các bộ lọc pre_user_query và views_users. Để duy trì hoạt động, nó sử dụng ba tùy chọn hệ thống của WordPress được cấu hình tắt autoload nhằm giảm khả năng bị phát hiện, bao gồm khóa xác thực, ID tài khoản quản trị ẩn và dữ liệu tài khoản mã hóa Base64. Bên cạnh đó, cơ chế persistence được triển khai nhiều lớp, bao gồm một plugin dạng must-use với tên object-cache-helper.php, chỉnh sửa file functions.php của theme đang hoạt động và thả thêm file class-wp-locale-helper.php vào thư mục wp-includes, giúp duy trì truy cập ngay cả khi một thành phần bị loại bỏ.

Mã độc cũng thực hiện thu thập và truyền dữ liệu về máy chủ điều khiển tại wpjs1[.]com, bao gồm URL website, khóa backdoor, hostname, phiên bản plugin, WordPress, PHP, email quản trị viên, tên cơ sở dữ liệu và thông tin đăng nhập. Theo Patchstack, cơ chế tấn công được triển khai theo nhiều giai đoạn nhằm đảm bảo khả năng duy trì quyền truy cập lâu dài và né tránh phát hiện, cho thấy đây không phải một webshell đơn giản mà là bộ công cụ chiếm quyền nhiều lớp với khả năng tự phục hồi và tái xâm nhập.

Phiên bản miễn phí của plugin không bị ảnh hưởng. Nextend đã tắt hệ thống cập nhật, loại bỏ phiên bản độc hại và phát hành bản vá 3.5.1.36. Để giảm thiểu rủi ro và loại bỏ hoàn toàn dấu vết xâm nhập, các quản trị viên cần thực hiện các biện pháp xử lý sau:​
  • Cập nhật ngay lên phiên bản 3.5.1.36​
  • Kiểm tra toàn bộ tài khoản quản trị và xóa các tài khoản bất thường hoặc không rõ nguồn gốc​
  • Gỡ bỏ phiên bản Smart Slider 3 Pro 3.5.1.35 nếu đang tồn tại trên hệ thống​
  • Cài đặt lại plugin từ nguồn phân phối chính thống​
  • Xóa toàn bộ file persistence có khả năng duy trì backdoor​
  • Làm sạch cơ sở dữ liệu và thay đổi toàn bộ mật khẩu hệ thống​
Các khóa cần xóa trong bảng wp_options:​
  • _wpc_ak​
  • _wpc_uid​
  • _wpc_uinfo​
  • _perf_toolkit_source​
  • wp_page_for_privacy_policy_cache​
Ngoài ra cần:​
  • Kiểm tra file wp-config.php để loại bỏ cấu hình độc hại​
  • Kiểm tra file .htaccess và xóa các dòng cấu hình bất thường​
  • Thay đổi mật khẩu quản trị, database, FTP và SSH​
  • Kích hoạt xác thực hai lớp (2FA) cho tài khoản quản trị​
  • Chặn thực thi PHP trong thư mục uploads để giảm nguy cơ tái xâm nhập​
Theo Patchstack, đây là một ví dụ điển hình của tấn công chuỗi cung ứng, khi mã độc được đưa trực tiếp vào kênh cập nhật chính thức khiến các cơ chế bảo vệ truyền thống gần như không còn hiệu quả và chính plugin trở thành phương tiện phát tán mã độc.
Theo The Hacker News
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng đọc file trên Plugin Smart Slider 3 đe dọa 500.000 website WordPress
  • Metasploit cập nhật module mới nhắm vào FreePBX, Cacti và SmarterMail
  • 3 lỗ hổng nghiêm trọng trong 1 tháng: SmarterMail soán ngôi “điểm nóng” tấn công mạng
  • Lỗ hổng SmarterMail bị khai thác chỉ sau hai ngày phát hành bản vá
  • TV Box, Smart TV giá rẻ tại Việt Nam bị biến thành mắt xích của mạng botnet toàn cầu
  • SmarterMail dính lỗ hổng RCE 10 điểm, cho phép chiếm quyền điều khiển máy chủ từ xa
    • Thẻ
    backdoor chuỗi cung ứng mã độc smart slider 3 pro
    Bên trên