Bạn có nghĩ rằng việc tối ưu hóa tốc độ website lại có thể khiến bạn mất toàn bộ dữ liệu không? Hàng nghìn website WordPress trên toàn cầu, trong đó có nhiều trang web Việt Nam, đang đối mặt với nguy cơ bị chiếm quyền điều khiển hoàn toàn thông qua plugin Breeze Cache. Đây là một trong những plugin tối ưu hóa tốc độ phổ biến nhất với hơn 90.000 lượt cài đặt đang hoạt động. Các chuyên gia an ninh mạng đã phát hiện hacker đang khai thác một lỗ hổng nghiêm trọng trong plugin này để tải lên mã độc mà không cần bất kỳ quyền truy cập nào.

Cuộc tấn công diễn ra như thế nào?

Lỗ hổng được mã hóa CVE-2024-50550 (CVE là mã định danh lỗ hổng bảo mật quốc tế) cho phép hacker tải lên arbitrary file upload - tức là có thể tải lên bất kỳ loại file nào họ muốn lên máy chủ. Điều đáng lo ngại nhất là việc này không yêu cầu authentication (xác thực danh tính). Hacker chỉ cần biết website đang sử dụng plugin Breeze Cache là có thể thực hiện tấn công ngay lập tức.

Chúng tôi đã quan sát thấy các cuộc tấn công bắt đầu từ tuần trước và đang gia tăng mạnh mẽ. Phương thức tấn công chủ yếu là tải lên các file PHP chứa web shell - một loại backdoor cho phép hacker điều khiển website từ xa như thể họ là quản trị viên hệ thống. Sau khi cài đặt web shell thành công, kẻ tấn công có thể xem, sửa đổi, xóa dữ liệu, cài đặt thêm mã độc hoặc sử dụng server làm bàn đạp tấn công các mục tiêu khác.

Tại sao lỗ hổng này lại nguy hiểm đến vậy?

File upload vulnerability (lỗ hổng tải lên file) được xếp vào hạng nghiêm trọng nhất trong bảng phân loại OWASP Top 10. Lý do đơn giản: nó cho phép kẻ tấn công bypass (vượt qua) mọi biện pháp bảo vệ của website. Thông thường, để xâm nhập vào một website, hacker phải trải qua nhiều bước phức tạp như tìm kiếm lỗ hổng SQL injection, tấn công brute force password, hoặc khai thác các lỗi trong source code.

Nhưng với arbitrary file upload, họ chỉ cần một bước duy nhất. Plugin Breeze Cache được phát triển bởi Cloudways - một nhà cung cấp hosting đám mây uy tín, điều này khiến nhiều người dùng tin tưởng và không ngờ rằng plugin lại chứa lỗ hổng nghiêm trọng như vậy. Theo thống kê của các công ty bảo mật, hơn 60% website WordPress Việt Nam sử dụng ít nhất một plugin tối ưu hóa tốc độ, và Breeze Cache là lựa chọn phổ biến do tính năng miễn phí và hiệu quả cao.

Quy mô tấn công và thiệt hại thực tế

Các chuyên gia từ Wordfence Security Intelligence đã ghi nhận hơn 12.000 lần thử khai thác lỗ hổng này chỉ trong vòng 5 ngày qua. Con số này tăng gấp đôi so với tuần trước, cho thấy tin tức về lỗ hổng đã lan truyền trong cộng đồng underground. Đặc biệt nghiêm trọng, nhiều website thương mại điện tử, tin tức và doanh nghiệp vừa và nhỏ tại Việt Nam đã bị ảnh hưởng.

Chúng tôi cho rằng thiệt hại thực tế có thể lớn hơn nhiều so với số liệu công bố. Nhiều website bị tấn công nhưng chủ sở hữu không phát hiện ra do web shell được cài đặt rất tinh vi. Hacker thường giấu các file độc hại trong những thư mục ít được kiểm tra như /wp-content/uploads/ hoặc /wp-includes/. Một số trường hợp được báo cáo đã mất hoàn toàn quyền truy cập vào website, dữ liệu khách hàng bị đánh cắp, và thậm chí server bị sử dụng để khai thác cryptocurrency.

Hành động cần thực hiện ngay lập tức

Nếu website của bạn đang sử dụng plugin Breeze Cache, hãy thực hiện ngay các bước sau. Đầu tiên, vô hiệu hóa plugin Breeze Cache ngay lập tức thông qua WordPress Admin Dashboard, vào phần Plugins và click "Deactivate". Tiếp theo, cập nhật lên phiên bản 2.0.18 hoặc cao hơn nếu Cloudways đã phát hành bản vá. Kiểm tra log truy cập website trong 2 tuần gần đây để tìm các request bất thường đến endpoint /wp-content/plugins/breeze/.

Quan trọng nhất là quét toàn bộ file trên server để tìm web shell. Các file PHP được tạo gần đây trong thư mục uploads, includes, hoặc có tên ngẫu nhiên đều đáng nghi. Nếu phát hiện dấu hiệu bị xâm nhập, hãy thay đổi tất cả mật khẩu admin, database, hosting và kích hoạt xác thực hai yếu tố. Đối với các doanh nghiệp lớn, chúng tôi khuyến nghị thuê chuyên gia bảo mật để kiểm tra forensic và đảm bảo hệ thống được làm sạch hoàn toàn.