Một chiến dịch tấn công mạng quy mô lớn đang quét qua các trang web trên toàn cầu, biến các hệ thống quản lý nội dung (CMS) thông thường thành bàn đạp cho kẻ tấn công. Các doanh nghiệp vừa và nhỏ tại Úc và nhiều nơi khác đang phát hiện các máy chủ web của họ bị chiếm quyền điều khiển một cách âm thầm, thường là không có dấu hiệu cảnh báo rõ ràng. Tình trạng khẩn cấp đã được nâng lên mức cảnh báo cao đối với chiến dịch khai thác hệ thống quản lý nội dung (CMS) trên diện rộng này, dẫn đến việc triển khai các webshell trên các website dễ bị tấn công.
Vai trò của Webshell trong Chiến dịch Tấn công
Trọng tâm của chiến dịch này là một công cụ quen thuộc nhưng nguy hiểm gọi là webshell. Sau khi được cài cắm thành công trên một máy chủ bị xâm nhập, webshell cung cấp một backdoor ẩn, cho phép kẻ tấn công điều khiển trang web từ xa như thể họ đang trực tiếp ngồi tại bàn phím.
Từ đó, tội phạm mạng có thể thực hiện các hành vi như:
- Tấn công thay đổi giao diện trang web (deface).
- Đánh cắp thông tin đăng nhập.
- Phân phối mã độc.
- Sử dụng điểm truy cập này để thâm nhập sâu hơn vào mạng lưới nội bộ.
Phương thức Tấn công và Các Lỗ hổng Bị Khai thác
Các nhà phân tích và nghiên cứu từ Trung tâm An ninh Mạng (ACSC) thuộc Cục An ninh Mạng Úc đã xác định chiến dịch này khi nó diễn ra trên nhiều nền tảng và plugin CMS khác nhau. Cuộc điều tra cho thấy kẻ tấn công không dựa vào một lỗ hổng duy nhất mà là chuỗi các lỗ hổng đã biết để tối đa hóa phạm vi tiếp cận.
Các lỗ hổng bị lạm dụng cho phép:
- Tải tệp không xác thực (unauthenticated file uploads).
- Thực thi mã từ xa (remote code execution – RCE).
- Giả mạo yêu cầu máy chủ (server-side request forgery – SSRF).
- Giải trừ dữ liệu không an toàn (unsafe deserialization).
Nhiều lỗ hổng trong số này đã có bản vá công khai, điều này càng làm gia tăng mức độ lo ngại về quy mô khai thác đối với các chủ sở hữu chưa cập nhật phần mềm của họ.
Phạm vi Tác động và Các Nền tảng Bị Ảnh hưởng
Chiến dịch khai thác này bao gồm một loạt các phần mềm rộng lớn. Các plugin WordPress như Simple File List, WavePlayer, BerqWP, WPBookit, Ninja Forms, ThemeREX Addons, Breeze Cache, pay-uz, ACF Extended, Sneeit Framework, WPvivid Backup, Gravity Forms, và GutenKit hoặc Hunk Companion đều đã bị nhắm mục tiêu. Bên cạnh đó là các nền tảng độc lập như Craft CMS, MaxSite CMS, MetInfo CMS, và Joomla JCE.
Mỗi công cụ đều mang theo lỗ hổng đã được theo dõi, và kẻ tấn công dường như đang quét toàn bộ internet để tìm kiếm bất kỳ trang web nào chạy phiên bản dễ bị tổn thương. Một khi phát hiện ra điểm yếu, webshell sẽ được thả vào hệ thống tệp, cung cấp quyền truy cập từ xa dai dẳng.
Máy chủ bị xâm nhập sau đó có thể được sử dụng để thay đổi giao diện, đánh cắp thông tin đăng nhập, phân phối mã độc hoặc làm bước đệm để tiến vào một mạng lưới lớn hơn. Điều khiến chiến dịch này trở nên đáng chú ý không phải là một khai thác mới duy nhất, mà là sự đa dạng của danh sách mục tiêu. Kẻ tấn công đang tung lưới rộng khắp các hệ sinh thái CMS thay vì tập trung vào một nền tảng duy nhất, làm tăng khả năng tìm thấy một mục tiêu chưa được vá lỗi trong số đó.
Khuyến nghị Ứng phó và Phòng ngừa
ACSC đã đưa ra các bước rõ ràng cho chủ sở hữu trang web nghi ngờ bị ảnh hưởng. Ưu tiên hàng đầu là kiểm tra thư mục CMS để tìm các tệp bất thường và xem xét các bản ghi truy cập web để tìm các yêu cầu đáng ngờ nhắm vào các đường dẫn webshell đã biết.
Bất kỳ máy chủ nào được phát hiện chạy webshell đều phải được coi là hoàn toàn bị xâm phạm. Điều này đòi hỏi phải cách ly máy chủ, kiểm tra nhật ký xác thực và mạng để tìm dấu hiệu di chuyển ngang (lateral movement), và truy ngược lại qua lưu lượng truy cập lịch sử để xác định cách thức xảy ra vụ xâm nhập.
Việc khôi phục từ bản sao lưu sạch, đã được xác minh là an toàn, được khuyến nghị sau khi môi trường đã được kiểm tra và vá lỗi.
Các Biện pháp Phòng ngừa Dài hạn
Ngoài việc ứng phó sự cố, ACSC còn khuyến nghị các thói quen phòng thủ dài hạn. Việc cập nhật thường xuyên phần mềm CMS và các plugin vẫn là biện pháp bảo vệ hiệu quả nhất, vì hầu hết các lỗ hổng đang bị khai thác đều đã có bản sửa lỗi.
Việc vô hiệu hóa một plugin ngay khi lỗ hổng được công khai có thể đóng kịp thời cửa sổ phơi nhiễm.
Cấu hình các thư mục web ở chế độ chỉ đọc, hạn chế các tệp và đường dẫn có thể thực thi, và giám sát các tiến trình con không mong muốn được khởi tạo bởi máy chủ web có thể giới hạn những gì một webshell có thể làm ngay cả khi nó vượt qua được các lớp phòng thủ.
Các tổ chức cũng được khuyến khích chặn các đường dẫn mạng không cần thiết giữa các trang web công khai và hệ thống nội bộ, giảm thiểu khả năng một trang web bị xâm phạm trở thành nguyên nhân dẫn đến một vụ vi phạm dữ liệu trên diện rộng.
Ngăn chặn các sự cố nghiêm trọng và tổn thất tài chính bằng cách tăng cường phòng thủ chủ động. Tích hợp nguồn cấp dữ liệu mối đe dọa trực tiếp từ 15.000 đội SOC để có cái nhìn sâu sắc về các hoạt động tấn công hiện tại.
ACSC’s report cung cấp thông tin chi tiết về chiến dịch này.










