Các chuyên gia bảo mật từ Wordfence đã phát hiện một làn sóng khai thác quy mô lớn nhắm vào các lỗ hổng CVE nghiêm trọng trong hai plugin WordPress phổ biến. Các cuộc tấn công này cho phép kẻ tấn công không cần xác thực cài đặt phần mềm độc hại và có khả năng chiếm quyền điều khiển toàn bộ các website bị ảnh hưởng.

Các lỗ hổng được công bố lần đầu vào cuối năm 2024, ảnh hưởng đến plugin GutenKit (với hơn 40.000 lượt cài đặt) và Hunk Companion (với hơn 8.000 lượt cài đặt). Mặc dù các bản vá đã có sẵn hơn một năm, nhưng kẻ tấn công đã đẩy mạnh lại các cuộc tấn công diện rộng vào ngày 8 tháng 10 năm 2025. Điều này đòi hỏi các quản trị viên website phải cập nhật ngay lập tức.

Phân tích Chi tiết Lỗ hổng CVE trong GutenKit và Hunk Companion

Nguyên nhân chính của các lỗ hổng này xuất phát từ việc thiếu kiểm tra ủy quyền (authorization checks) trong các điểm cuối (REST API endpoints) của plugin. Điều này cho phép bất kỳ ai cũng có thể cài đặt và kích hoạt các plugin tùy ý mà không cần xác thực.

GutenKit: Lỗ hổng cài đặt plugin tùy ý

Trong các phiên bản GutenKit lên đến 2.1.0, điểm cuối “install-active-plugin” không có quyền truy cập phù hợp. Kẻ tấn công có thể tải lên và giải nén các tệp ZIP độc hại trực tiếp vào thư mục plugin của WordPress.

Kỹ thuật này có thể dẫn đến thực thi mã từ xa (remote code execution – RCE) bằng cách triển khai các backdoor được ngụy trang dưới dạng các plugin hợp pháp. Việc này mang lại quyền kiểm soát hoàn toàn cho kẻ tấn công.

Hunk Companion: Chuỗi khai thác qua wp-query-console

Tương tự, các phiên bản Hunk Companion lên đến 1.8.5 đã phơi bày điểm cuối “themehunk-import”. Kẻ tấn công khai thác điểm yếu này để kéo các plugin dễ bị tổn thương từ kho lưu trữ WordPress, chẳng hạn như plugin wp-query-console chưa được vá lỗi, vốn có lỗ hổng RCE riêng.

Mức độ nghiêm trọng của lỗ hổng

Các nhà nghiên cứu Wordfence, bao gồm Sean Murphy và Daniel Rodriguez, đã xác định các vấn đề này thông qua chương trình tiền thưởng lỗi của họ. Cả hai lỗ hổng đều có điểm CVSS 9.8, đánh dấu chúng là mức độ “Nghiêm trọng” (Critical).

Chiến thuật Tấn công và Các Tải trọng Độc hại

Các nhật ký tấn công cho thấy các chiến thuật tinh vi được sử dụng. Một tải trọng phổ biến được lưu trữ trên GitHub, bao gồm các script PHP được mã hóa, bắt chước plugin All in One SEO để chiếm quyền quản trị (admin takeovers).

Các loại payload phổ biến

• Script chiếm quyền quản trị: Ngụy trang thành plugin SEO để đoạt quyền kiểm soát quản trị.
• Trình quản lý tệp: Cho phép tải lên các mã độc khác.
• Công cụ phá hoại hàng loạt (mass defacement): Thay đổi giao diện nhiều trang web cùng lúc.
• Công cụ đánh hơi mạng (network sniffing): Giám sát lưu lượng mạng để đánh cắp thông tin nhạy cảm.
• Cài đặt wp-query-console: Một nỗ lực khác là cài đặt plugin wp-query-console để tạo chuỗi khai thác các lỗ hổng CVE khác.

Phát hiện và phản ứng từ Wordfence

Tường lửa của Wordfence đã ngăn chặn hơn 8,75 triệu lượt tấn công kể từ khi các quy tắc bảo vệ được triển khai vào tháng 9 năm 2024. Một sự gia tăng đột biến về số lượng cuộc tấn công được ghi nhận vào ngày 8-9 tháng 10 năm 2025.

Các địa chỉ IP tấn công hàng đầu, như 3.141.28.47 (349.900 lượt chặn) và 13.218.47.110 (82.900 lượt chặn), cho thấy hoạt động botnet có sự phối hợp. Người dùng phiên bản Premium của Wordfence đã nhận được bảo vệ sớm hơn, trong khi phiên bản miễn phí được cập nhật sau 30 ngày. Thông tin chi tiết có thể được tìm thấy trên blog của Wordfence: Mass Exploit Campaign Targeting Arbitrary Plugin Installation Vulnerabilities.

Chỉ số Thỏa hiệp (IOCs)

Các địa chỉ IP được xác định liên quan đến các cuộc tấn công khai thác lỗ hổng CVE này bao gồm:

• 3.141.28.47
• 13.218.47.110

Biện pháp Phòng ngừa và Bản vá Bảo mật Khuyến nghị

Chủ sở hữu website cần hành động ngay lập tức để bảo vệ hệ thống của mình trước các cuộc tấn công khai thác lỗ hổng CVE này.

Cập nhật ngay lập tức

Nâng cấp lên các phiên bản plugin mới nhất là bước quan trọng nhất. Cụ thể:

• Nâng cấp lên GutenKit phiên bản 2.1.1 hoặc cao hơn.
• Nâng cấp lên Hunk Companion phiên bản 1.9.0 hoặc cao hơn.

Việc cập nhật bản vá bảo mật này sẽ khắc phục các điểm yếu trong REST API và ngăn chặn việc cài đặt plugin độc hại.

Kích hoạt tường lửa ứng dụng web (WAF)

Sử dụng các giải pháp tường lửa ứng dụng web (WAF) như Wordfence để chủ động chặn các hành vi lạm dụng API. WAF cung cấp một lớp bảo vệ bổ sung, đặc biệt quan trọng đối với các website chưa thể cập nhật ngay lập tức.

Kiểm tra định kỳ và đánh giá bảo mật

Thực hiện kiểm tra định kỳ các plugin đã cài đặt trên hệ thống để phát hiện bất kỳ hoạt động đáng ngờ nào. Gỡ bỏ các plugin không sử dụng hoặc không cần thiết để giảm thiểu bề mặt tấn công.

Wordfence cảnh báo rằng các trang web chưa được vá lỗi vẫn là mục tiêu chính, ngay cả sau một năm kể từ khi lỗ hổng được tiết lộ. Điều này nhấn mạnh sự kiên trì của các tác nhân đe dọa trong việc khai thác các phần mềm lỗi thời, và tầm quan trọng của việc duy trì một chiến lược bản vá bảo mật liên tục và chủ động.