404 Not Found
Writer
Các chuyên gia an ninh mạng vừa phát đi cảnh báo về lỗ hổng nghiêm trọng CVE-2025-5947 trong giao diện Service Finder của WordPress, hiện đang bị tin tặc khai thác tích cực để chiếm quyền quản trị website. Lỗ hổng này cho phép kẻ tấn công vượt qua cơ chế xác thực, đăng nhập trực tiếp với quyền quản trị viên, từ đó có thể chỉnh sửa nội dung, tạo tài khoản mới, tải lên tệp PHP hoặc trích xuất cơ sở dữ liệu mà không gặp bất kỳ giới hạn nào.
Theo thống kê từ Wordfence, kể từ ngày 1/8 đã có hơn 13.800 lượt khai thác được ghi nhận, cho thấy chiến dịch tấn công có quy mô lớn và đang lan rộng nhanh chóng. Service Finder là một giao diện WordPress cao cấp, được nhiều trang web dịch vụ và sàn việc làm sử dụng nhờ tích hợp các tính năng đặt lịch, phản hồi khách hàng, quản lý nhân viên, xuất hóa đơn và thanh toán. Với hơn 6.000 lượt bán trên Envato Market, phần lớn đang được triển khai trên các website thực tế, khiến nguy cơ lan truyền lỗ hổng này càng đáng lo ngại.
CVE-2025-5947 là lỗ hổng nghiêm trọng với điểm CVSS 9.8, ảnh hưởng đến tất cả các phiên bản Service Finder 6.0 trở về trước. Lỗi này cho phép tin tặc đăng nhập trực tiếp với quyền quản trị viên mà không cần mật khẩu. Lỗ hổng được phát hiện từ tháng 6 và đã được vá trong phiên bản 6.1 phát hành giữa tháng 7. Tuy nhiên, ngay sau khi thông tin lỗ hổng được công bố, các cuộc tấn công bắt đầu bùng phát, với hàng nghìn lượt tấn công mỗi ngày trong giai đoạn cao điểm cuối tháng 9.
Phân tích cho thấy phần lớn lưu lượng tấn công đến từ một số địa chỉ IP cụ thể như 5.189.221.98, 185.109.21.157, 192.121.16.196, 194.68.32.71 và 178.125.204.198. Việc chặn các IP này chỉ là giải pháp tạm thời, bởi tin tặc hoàn toàn có thể thay đổi dải địa chỉ để tiếp tục hoạt động. Hiện không có chỉ dấu rõ ràng cho phép quản trị viên biết website đã bị khai thác hay chưa, ngoài việc rà soát log chứa tham số switch_back. Tuy nhiên, việc không phát hiện dấu vết không đồng nghĩa hệ thống an toàn, bởi sau khi chiếm quyền, kẻ tấn công có thể xóa nhật ký hoặc chỉnh sửa cấu hình để che giấu hành vi. Các chuyên gia khuyến nghị quản trị viên kiểm tra kỹ các tài khoản mới được tạo, các phiên đăng nhập bất thường và các thay đổi gần đây trong hệ thống để sớm phát hiện rủi ro.
Trước tình hình khai thác diễn ra mạnh mẽ, người dùng Service Finder được khuyến cáo khẩn trương cập nhật lên phiên bản mới nhất hoặc tạm thời ngừng sử dụng giao diện này cho đến khi đảm bảo an toàn. WordPress từ lâu đã là miếng mồi béo bở của tội phạm mạng do sự phổ biến và độ tùy biến cao, nên việc duy trì thói quen cập nhật, giám sát nhật ký và sao lưu định kỳ là yếu tố then chốt để bảo vệ hệ thống khỏi những cuộc tấn công tương tự.
Theo thống kê từ Wordfence, kể từ ngày 1/8 đã có hơn 13.800 lượt khai thác được ghi nhận, cho thấy chiến dịch tấn công có quy mô lớn và đang lan rộng nhanh chóng. Service Finder là một giao diện WordPress cao cấp, được nhiều trang web dịch vụ và sàn việc làm sử dụng nhờ tích hợp các tính năng đặt lịch, phản hồi khách hàng, quản lý nhân viên, xuất hóa đơn và thanh toán. Với hơn 6.000 lượt bán trên Envato Market, phần lớn đang được triển khai trên các website thực tế, khiến nguy cơ lan truyền lỗ hổng này càng đáng lo ngại.
CVE-2025-5947 là lỗ hổng nghiêm trọng với điểm CVSS 9.8, ảnh hưởng đến tất cả các phiên bản Service Finder 6.0 trở về trước. Lỗi này cho phép tin tặc đăng nhập trực tiếp với quyền quản trị viên mà không cần mật khẩu. Lỗ hổng được phát hiện từ tháng 6 và đã được vá trong phiên bản 6.1 phát hành giữa tháng 7. Tuy nhiên, ngay sau khi thông tin lỗ hổng được công bố, các cuộc tấn công bắt đầu bùng phát, với hàng nghìn lượt tấn công mỗi ngày trong giai đoạn cao điểm cuối tháng 9.
Phân tích cho thấy phần lớn lưu lượng tấn công đến từ một số địa chỉ IP cụ thể như 5.189.221.98, 185.109.21.157, 192.121.16.196, 194.68.32.71 và 178.125.204.198. Việc chặn các IP này chỉ là giải pháp tạm thời, bởi tin tặc hoàn toàn có thể thay đổi dải địa chỉ để tiếp tục hoạt động. Hiện không có chỉ dấu rõ ràng cho phép quản trị viên biết website đã bị khai thác hay chưa, ngoài việc rà soát log chứa tham số switch_back. Tuy nhiên, việc không phát hiện dấu vết không đồng nghĩa hệ thống an toàn, bởi sau khi chiếm quyền, kẻ tấn công có thể xóa nhật ký hoặc chỉnh sửa cấu hình để che giấu hành vi. Các chuyên gia khuyến nghị quản trị viên kiểm tra kỹ các tài khoản mới được tạo, các phiên đăng nhập bất thường và các thay đổi gần đây trong hệ thống để sớm phát hiện rủi ro.
Trước tình hình khai thác diễn ra mạnh mẽ, người dùng Service Finder được khuyến cáo khẩn trương cập nhật lên phiên bản mới nhất hoặc tạm thời ngừng sử dụng giao diện này cho đến khi đảm bảo an toàn. WordPress từ lâu đã là miếng mồi béo bở của tội phạm mạng do sự phổ biến và độ tùy biến cao, nên việc duy trì thói quen cập nhật, giám sát nhật ký và sao lưu định kỳ là yếu tố then chốt để bảo vệ hệ thống khỏi những cuộc tấn công tương tự.
WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
