17/09/2018, 21:41

Lỗ hổng đe dọa toàn bộ các trang web WordPress

WordPress dần trở thành một đối tượng tấn công lớn cho tin tặc và cũng là nơi mà các nhà nghiên cứu lỗ hổng quan tâm. Phần mềm này được sử dụng bởi một lượng lớn các trang web và các lỗ hổng nghiêm trọng trên nền tảng này cũng được phát hiện rất nhiều. Chuyên gia bảo mật Scott Arciszewski vừa ...

wordpress-logo-stacked-rgb

WordPress dần trở thành một đối tượng tấn công lớn cho tin tặc và cũng là nơi mà các nhà nghiên cứu lỗ hổng quan tâm. Phần mềm này được sử dụng bởi một lượng lớn các trang web và các lỗ hổng nghiêm trọng trên nền tảng này cũng được phát hiện rất nhiều. Chuyên gia bảo mật Scott Arciszewski vừa tiết lộ có thể khiến tin tặc chiếm toàn bộ trang web bị ảnh hưởng.

Arciszewski cho biết WordPress thiếu cơ chế sinh số ngẫu nhiên SPRNG (Cryptographically secure pseudorandom number generator). Ông đã thông báo cho WordPress 8 tháng trước nhưng nhận được rất ít phản hồi. Tin tặc có thể dự đoán token được sử dụng để tạo ra mật khẩu mới dành cho tài khoản người dùng và đánh cắp tài khoản. Arciszewski đã phát triển một bản vá nhưng nó vẫn chưa được tích hợp vào WordPress. “Có một quy tắc trong bảo mật: càng ngày các vụ tấn công sẽ ngày càng tinh vi hơn. Nếu không bị tấn công trong hôm nay, sẽ chẳng có gì đảm bảo rằng bạn sẽ không bị tấn công trong 5 hay 10 năm sau.”.

WordPress điều hành hơn 20% trang web trên mạng Internet. Tuy nhiên, tin tặc có thể không quá quan tâm tới lỗ hổng do tính phức tạp của việc triển khai các chương trình khai thác.

securityweek

0