Hơn 70.000 website WordPress trên toàn cầu vừa phát hiện mình đang chạy một quả bom hẹn giờ kỹ thuật số trong suốt 5 năm qua. Plugin Quick Page/Post Redirect - một công cụ chuyển hướng trang web phổ biến - đã bí mật chứa backdoor (cửa hậu) cho phép kẻ tấn công hoàn toàn kiểm soát website của nạn nhân. Điều đáng sợ nhất? Không ai biết về sự tồn tại của lỗ hổng này cho đến khi các chuyên gia bảo mật phát hiện tuần trước.

Khi plugin tin cậy trở thành con dao hai lưỡi

Quick Page/Post Redirect từ lâu được cộng đồng WordPress tin tưởng như một giải pháp đơn giản để chuyển hướng URL. Plugin này có hơn 70.000 lượt cài đặt hoạt động và nhận được đánh giá tích cực từ người dùng. Tuy nhiên, vào năm 2019, một phiên bản cập nhật đã âm thầm tích hợp backdoor vào code của plugin mà không hề thông báo cho cộng đồng.

Chúng tôi cho rằng đây là một trong những vụ tấn công supply chain (chuỗi cung ứng) tinh vi nhất từng xuất hiện trong hệ sinh thái WordPress. Backdoor được ngụy trang hoàn hảo trong các function bình thường của plugin, khiến cho việc phát hiện trở nên cực kỳ khó khăn. Ngay cả những developer có kinh nghiệm cũng có thể bỏ qua đoạn code độc hại này khi review.

Cơ chế tấn công nguy hiểm như thế nào?

Backdoor hoạt động thông qua một HTTP parameter (tham số) ẩn được mã hóa base64. Khi hacker gửi request với parameter đặc biệt này, plugin sẽ thực thi bất kỳ đoạn PHP code nào mà kẻ tấn công muốn. Điều này có nghĩa chúng có thể upload malware (mã độc), đánh cắp database, cài đặt crypto miner, hay thậm chí biến website thành botnet.

Đặc biệt nguy hiểm, backdoor này không để lại log hoặc dấu vết rõ ràng trong hệ thống giám sát truyền thống. Code độc hại chỉ kích hoạt khi có request cụ thể từ attacker, nghĩa là website có thể hoạt động bình thường trong nhiều năm mà admin không hề hay biết. Theo phân tích của chúng tôi, đây chính là lý do khiến backdoor tồn tại âm thầm suốt 5 năm dài.

Tác động tàn phá trên diện rộng

Con số 70.000+ website bị ảnh hưởng có thể chỉ là phần nổi của tảng băng chìm. Nhiều website đã gỡ plugin này trong quá khứ nhưng vẫn có thể chứa remnant code (đoạn code dư thừa) hoặc persistent backdoor (cửa hậu bền vững) mà attacker đã cài đặt. Tại Việt Nam, ước tính có khoảng 2.000-3.000 website WordPress sử dụng plugin này, chủ yếu là các trang thương mại điện tử, blog cá nhân và website doanh nghiệp vừa và nhỏ.

Các website thương mại điện tử chịu rủi ro cao nhất vì chúng chứa thông tin thẻ tín dụng, dữ liệu khách hàng và transaction records (bản ghi giao dịch). Chúng tôi khuyến cáo mạnh mẽ các doanh nghiệp Việt Nam cần audit (kiểm toán) ngay lập tức toàn bộ hệ thống nếu từng sử dụng plugin này.

Hành động khẩn cấp để bảo vệ website

Đầu tiên, kiểm tra xem website của bạn có đang sử dụng plugin Quick Page/Post Redirect hay không thông qua WordPress admin dashboard. Nếu có, gỡ cài đặt ngay lập tức và thay thế bằng plugin redirect khác đã được verify. Tiếp theo, scan toàn bộ file system bằng security scanner như Wordfence hoặc Sucuri để phát hiện malware có thể đã được cài đặt.

Quan trọng không kém, thay đổi tất cả mật khẩu admin, database và FTP access. Kích hoạt two-factor authentication (xác thực hai yếu tố) cho tài khoản quản trị. Backup website và database hiện tại trước khi thực hiện bất kỳ thay đổi nào. Cuối cùng, monitor (giám sát) traffic bất thường trong 30 ngày tới để phát hiện dấu hiệu của persistent threat. Vụ việc này một lần nữa chứng minh rằng việc quản lý plugin cần được thực hiện nghiêm túc như một phần của chiến lược an ninh mạng tổng thể.