Người quản trị WordPress nên kiểm tra xem nếu trang web sử dụng plug-in Slider Revolution thì cần cập nhật ngay lập tức, các nhà nghiên cứu cho biết.

Tin tặc đang tích cực khai thác một lỗ hổng nghiêm trọng trong một plug-in trên Wordpress mà được sử dụng bởi một số lượng lớn các theme, các nhà nghiên cứu từ hai công ty bảo mật đã cảnh báo vào hôm thứ Tư.
Lỗ hổng này tồn tại trong các phiên bản từ 4.1.4 trở về trước của plug-in Slider Revolution, một plug-in WordPress thương mại để tạo các thanh trượt hiển thị nội dung trên điện thoại di động. Lỗ hổng này đã được khắc phục cố định phiên bản 4.2 được phát hành vào tháng Hai, nhưng một số theme - tập hợp các tập tin hoặc các mẫu để định dạng giao diện tổng thể của một trang web - vẫn tồn tại những phiên bản plug-in không an toàn.
Lỗ hổng có thể bị khai thác để thực hiện tấn công LFI (local file inclusion) cho phép tin tặc truy cập vào tập tin wp-config.php của một trang web WordPress, các nhà nghiên cứu từ hãng an ninh web Sucuri cho biết trong một bài trên blog. Tập tin nhạy cảm này chứa thông tin truy cập cơ sở dữ liệu mà có thể được sử dụng để khai thác toàn bộ trang web, các nhà nghiên cứu cho biết.
Trong tháng Hai, ThemePunch, người phát triển plug-in Slider Evolution, đã đề cập trong các ghi chú phát hành của phiên bản 4.2 rằng một vấn đề an ninh đã được khắc phục, nhưng không đưa ra bất kỳ chi tiết bổ sung về vấn đề đó hay về ảnh hưởng của nó.
Thông tin về lỗ hổng lan truyền trên các diễn đàn ngầm trong vài tháng, nhưng vào ngày 01/09 một số người đã đăng một thủ thuật khai thác đã kiểm chứng lên một trang web công cộng, bao gồm một danh sách các theme WordPress mà rất có thể bị ảnh hưởng, các nhà nghiên cứu an ninh Trustwave cho biết vào hôm thứ Tư trong một bài tên blog. "Honeypot Web của chúng tôi đã ghi nhận sự gia tăng hoạt động quét ngày hôm nay."
Các nhà nghiên cứu của Sucuri cũng nhận thấy những hành động khai thác lỗ hổng đó. "Riêng hôm nay, đã có 64 địa chỉ IP khác nhau cố gắng khai thác lỗ hổng này trên hơn 1.000 trang web khác nhau trong môi trường của chúng tôi", họ nói.
Silder Revolution được bán thông qua CodeCanyon.net, một khu chợ trực tuyến để giao dịch các Web script và các thành phần khác. Plug-in này không chỉ được mua bởi các chủ sở hữu trang web thông thường, mà còn bởi những người phát triển theme cho WordPress để nhúng nó vào sản phẩm của họ cho chức năng thanh trượt nội dung.
Vấn đề là khi được nhúng vào các theme, cơ chế cập nhật tự động của Slider Revolution thường bị vô hiệu hóa. Người dùng sau đó phải dựa vào người phát triển theme để cập nhật, mà trong nhiều trường hợp không xảy ra.
"Chúng tôi khắc phục tất cả các vấn đề trong vòng vài giờ", một đại diện hỗ trợ kỹ thuật của Damojo, Cologne, Đức, công ty đang sở hữu ThemePunch, cho biết qua email. "Như bạn đã biết điều đó cần thiết cho tất cả các plug-in của bạn, WordPress và các máy chủ luôn được cập nhật phiên bản mới nhất. Khách hàng trực tiếp của chúng tôi làm và có thể cập nhật các plug-in của họ thường xuyên và tự động nếu họ muốn".
"Vấn đề chính là người phát triển nhúng plug-in vào theme của họ nhưng không cập nhật plugin cho khách hàng của họ", đại diện Damojo nói. "Các gợi ý 'Security Fix' [trong ghi chú phát hành] nên cảnh bảo bằng chuông. Tại sao họ không cập nhật plug-in kể từ tháng Hai?"
Phiên bản mới nhất của Slider Revolution là 4.6, được phát hành ngày 25/08, nhưng lỗ hổng này này chỉ tồn tại trong các phiên bản cũ hơn 4.2.
Đại diện của Damojo khuyên người sử dụng nên kiểm tra xem theme của họ có chứa một phiên bản plug-in không an ninh nào đó không và liên hệ với người phát triển theme trong trường hợp họ làm, và công ty không nên đổ lỗi cho người khác.
Sự kiện này một lần nữa nhấn mạnh nguy cơ không đảm bảo an ninh của việc tái sử dụng mã nguồn của bên thứ ba, một vấn đề phổ biến có ảnh hưởng đến tất cả các loại phần mềm, không chỉ các ứng dụng web và WordPress chủ đề.
Nhiều nhà phát triển sử dụng các thành phần và thư viện của bên thứ ba trong các dự án phần mềm của riêng mình và không theo kịp với bản cập nhật an ninh của họ. Điều này có thể dẫn đến tình huống mà một lỗ hổng được xác định và khắc phục trong một gói phần mềm, nhưng lưu lại trong nhiều tháng hoặc nhiều năm trong các ứng dụng khác.