Các nhà nghiên cứu bảo mật đang ghi nhận các hoạt động khai thác tích cực một lỗ hổng lộ thông tin nhạy cảm trong plugin Gravity SMTP dành cho WordPress. Lỗ hổng này đang nhắm mục tiêu đến hơn 100.000 trang web để thu thập dữ liệu cấu hình và thông tin đăng nhập email trực tiếp.
Chi tiết Lỗ hổng Gravity SMTP
Lỗ hổng, được định danh là CVE‑2026‑4020, có điểm CVSS là 5.3 (Trung bình). Nó ảnh hưởng đến tất cả các phiên bản Gravity SMTP từ 2.1.4 trở về trước. Hiện tại, lỗ hổng đang bị khai thác hàng loạt thông qua cơ sở hạ tầng IP phân tán trên nhiều khu vực địa lý.
Nhà cung cấp đã âm thầm phát hành bản vá vào ngày 17 tháng 3 năm 2026, với phiên bản Gravity SMTP 2.1.5. Tuy nhiên, việc công khai lỗ hổng chỉ diễn ra vào ngày 30 tháng 3 năm 2026, khiến một lượng lớn trang web chưa cập nhật bị phơi nhiễm trong khoảng thời gian đó.
Cơ chế Hoạt động của Lỗ hổng
Bản chất của vấn đề nằm ở một điểm cuối REST API được đăng ký tại địa chỉ /wp-json/gravitysmtp/v1/tests/mock-data. Điểm cuối này có một hàm callback cho phép truy cập mà không yêu cầu xác thực hoặc kiểm tra quyền hạn, nghĩa là bất kỳ ai cũng có thể truy cập nó mà không cần đăng nhập.
Khi một yêu cầu được thêm tham số truy vấn page=gravitysmtp-settings, logic thu thập cấu hình của plugin sẽ tải dữ liệu kết nối nội bộ của nó. Kết quả trả về là một báo cáo hệ thống (System Report) dạng JSON, có dung lượng khoảng 365 KB, chứa siêu dữ liệu chi tiết về hệ thống và plugin.
Báo cáo này bao gồm các thông tin như: phiên bản PHP và các extension đi kèm, phiên bản web server và thư mục gốc tài liệu (document root), loại cơ sở dữ liệu và phiên bản, phiên bản WordPress và chi tiết cấu hình, theme đang hoạt động, danh sách tất cả các plugin đang hoạt động kèm phiên bản, và tên các bảng cơ sở dữ liệu nội bộ.
Quan trọng hơn, báo cáo còn tiết lộ các khóa API, bí mật (secrets), và token OAuth được cấu hình cho các tích hợp email của Gravity SMTP. Điều này bao gồm các nhà cung cấp dịch vụ như Amazon SES, Google, Mailjet, Resend, và Zoho. Kẻ tấn công có được những thông tin này có thể gửi email thông qua các kênh hợp pháp của nạn nhân.
Sự kết hợp giữa việc thu thập thông tin chi tiết cho giai đoạn trinh sát và việc lộ thông tin đăng nhập đã giảm đáng kể nỗ lực cần thiết để thực hiện các cuộc tấn công chuỗi hoặc chiếm quyền kiểm soát tài khoản rộng hơn.
Khai thác Lỗ hổng
Việc khai thác lỗ hổng này rất đơn giản. Kẻ tấn công chỉ cần gửi một yêu cầu GET duy nhất mà không cần xác thực, ví dụ:
GET /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings HTTP/1.1Do điểm cuối này không thực thi bất kỳ cơ chế xác thực, bảo vệ CSRF hay kiểm tra quyền hạn nào, phương thức này hoàn toàn phù hợp cho các hoạt động quét tự động trên toàn bộ Internet và thu thập dữ liệu. Các mẫu khai thác (exploit templates) đã có sẵn trong các hệ sinh thái công cụ công khai như Nuclei.
Tình hình Khai thác Thực tế
Wordfence báo cáo rằng lỗ hổng này hiện đang bị khai thác trên diện rộng, với hơn 17 triệu lượt tấn công bị chặn. Hoạt động gia tăng đáng kể trong khoảng thời gian từ ngày 7 đến ngày 11 tháng 6 năm 2026, đạt mức vài triệu yêu cầu mỗi ngày.
CrowdSec cũng ghi nhận ít nhất 412 địa chỉ IP tấn công riêng biệt trong khoảng thời gian từ ngày 27 tháng 5 đến ngày 1 tháng 6 năm 2026. Hoạt động tấn công chủ yếu đến từ các nhà cung cấp dịch vụ đám mây và lưu trữ, thay vì tập trung vào một khu vực địa lý duy nhất.
Các Chỉ số Xâm nhập (IOC)
Trong số các nguồn tấn công tích cực nhắm vào điểm cuối mock-data, có thể kể đến các địa chỉ IP sau:
- 45.148.10.95
- 193.32.162.60
- 176.65.148.139
- 173.199.90.188
- 45.148.10.120
- 185.8.107.155
- 185.8.106.37
- 185.8.106.92
- 185.8.106.145
- 176.65.148.30
Những địa chỉ này dường như liên kết với cơ sở hạ tầng quét có khối lượng lớn, thay vì người dùng thông thường. Điều này củng cố quan điểm rằng việc khai thác chủ yếu là tự động và mang tính cơ hội.
Tuy nhiên, danh sách này chỉ mang tính tham khảo, vì các địa chỉ IP mới liên tục tham gia vào bề mặt tấn công khi các script lan truyền và các botnet khác tích hợp các kiểm tra cho CVE‑2026‑4020 vào quy trình của chúng.
Thách thức trong Phát hiện Tấn công
Việc phát hiện các hoạt động khai thác lỗ hổng này gặp nhiều khó khăn. Lỗ hổng thuộc loại chỉ đọc (read-only) và không trực tiếp sửa đổi nội dung trang web, tài khoản người dùng hay tệp tin. Do đó, các chỉ số xâm nhập truyền thống như tài khoản quản trị viên mới hoặc webshell bị bỏ lại có thể vắng mặt ngay cả khi thông tin đăng nhập đã bị đánh cắp.
Thay vào đó, quản trị viên nên xem xét nhật ký truy cập web server để tìm bất kỳ yêu cầu nào tới /wp-json/gravitysmtp/v1/tests/mock-data, đặc biệt là các yêu cầu chứa page=gravitysmtp-settings. Cần đối chiếu chúng với dấu thời gian, user agent và các địa chỉ IP độc hại đã biết.
Các phản hồi JSON lớn (khoảng 365 KB) từ đường dẫn này là bằng chứng mạnh mẽ cho thấy báo cáo hệ thống đã được truy xuất ít nhất một lần.
Các Biện pháp Giảm thiểu Rủi ro
Việc giảm thiểu rủi ro yêu cầu sự kết hợp giữa việc cập nhật bản vá, xoay vòng thông tin đăng nhập, và tăng cường bảo mật ở cấp độ mạng.
Nâng cấp Plugin
Chủ sở hữu trang web bắt buộc phải nâng cấp Gravity SMTP lên phiên bản 2.1.5 trở lên. Bản cập nhật này đã khắc phục hành vi không an toàn của REST API.
Xoay vòng Thông tin Đăng nhập
Vì không có cách nào đáng tin cậy để chứng minh rằng thông tin đăng nhập không bị truy cập sau khi trang web chạy phiên bản dễ bị tổn thương, tất cả các khóa API, bí mật và token OAuth liên quan đến Amazon SES, Google, Mailjet, Resend, Zoho hoặc các nhà cung cấp được kết nối khác phải được xoay vòng ngay lập tức sau khi vá lỗi.
Tăng cường Bảo mật Mạng
Các nhóm bảo mật nên cân nhắc chặn truy cập không xác thực tới /wp-json/gravitysmtp/v1/tests/mock-data thông qua cấu hình web server hoặc các quy tắc Tường lửa Ứng dụng Web (WAF). Nếu khả thi, nên giới hạn quyền truy cập REST API vào các dải IP đáng tin cậy.
Để có thêm thông tin chi tiết về các lỗ hổng và cảnh báo bảo mật mới nhất, vui lòng tham khảo các nguồn uy tín như CISA.
