Các trang web chạy WordPress và Joomla có rủi ro về tập lệnh bộ chuyển hướng và bộ chuyển hướng độc hại
Các trang web sử dụng Hệ thống quản lý nội dung (CMS) phổ biến như Joomla và WordPress phải tuân theo tập lệnh trình cung cấp mã và trình chuyển hướng. Mối đe dọa bảo mật mới dường như đưa những người truy cập không nghi ngờ đến các trang web trông xác thực nhưng có độ độc hại cao. Khi nó đã chuyển hướng thành công, mối đe dọa bảo mật sẽ cố gắng gửi mã và phần mềm bị nhiễm đến máy tính mục tiêu.
Các nhà phân tích bảo mật đã phát hiện ra một mối đe dọa bảo mật đáng ngạc nhiên nhắm vào Joomla và WordPress, hai trong số các nền tảng CMS phổ biến và được sử dụng rộng rãi nhất. Hàng triệu trang web sử dụng ít nhất một trong các CMS để tạo, chỉnh sửa và xuất bản nội dung. Các nhà phân tích hiện đang cảnh báo chủ sở hữu của các trang web Joomla và WordPress về một tập lệnh chuyển hướng độc hại đang đẩy khách truy cập đến các trang web độc hại. Eugene Wozniak, một nhà nghiên cứu bảo mật của Sucuri, đã trình bày chi tiết về mối đe dọa bảo mật độc hại mà anh đã phát hiện ra trên trang web của khách hàng.
Mối đe dọa trình tiêm .htaccess mới được phát hiện không cố gắng làm tê liệt máy chủ hoặc khách truy cập. Thay vào đó, trang web bị ảnh hưởng liên tục cố gắng chuyển hướng lưu lượng truy cập trang web đến các trang web quảng cáo. Mặc dù điều này nghe có vẻ không gây hại nhiều, nhưng tập lệnh của bộ phun cũng cố gắng cài đặt phần mềm độc hại. Phần thứ hai của cuộc tấn công, khi kết hợp với các trang web hợp pháp có thể ảnh hưởng nghiêm trọng đến uy tín của máy chủ.
Joomla, cũng như các trang web WordPress, rất thường sử dụng tệp .htaccess để thực hiện các thay đổi cấu hình ở cấp thư mục của máy chủ web. Không cần phải đề cập đến, đây là một thành phần khá quan trọng của trang web vì tệp chứa cấu hình cốt lõi của trang web lưu trữ và các tùy chọn của nó bao gồm quyền truy cập trang web, chuyển hướng URL, rút ngắn URL và kiểm soát truy cập.
Theo các nhà phân tích bảo mật, mã độc này đã lạm dụng chức năng chuyển hướng URL của tệp .htaccess, "Trong khi phần lớn các ứng dụng web sử dụng chuyển hướng, các tính năng này cũng thường được những kẻ xấu sử dụng để tạo hiển thị quảng cáo và gửi khách truy cập trang web không nghi ngờ đến các trang web lừa đảo hoặc các trang web độc hại khác. ”
Điều thực sự đáng lo ngại là không rõ chính xác bằng cách nào những kẻ tấn công đã có được quyền truy cập vào các trang web Joomla và WordPress. Mặc dù bảo mật của các nền tảng này khá mạnh mẽ, nhưng khi vào bên trong, những kẻ tấn công có thể dễ dàng đưa mã độc vào các tệp Index.php của mục tiêu chính. Các tệp Index.php rất quan trọng vì chúng chịu trách nhiệm cung cấp các trang web Joomla và WordPress, như kiểu nội dung và các hướng dẫn cơ bản đặc biệt. Về cơ bản, nó là bộ hướng dẫn chính hướng dẫn những gì cần cung cấp và cách phân phối bất cứ thứ gì mà trang web đang cung cấp.
Sau khi có được quyền truy cập, những kẻ tấn công có thể cài đặt các tệp Index.php đã sửa đổi một cách an toàn. Sau đó, những kẻ tấn công có thể đưa các chuyển hướng độc hại vào các tệp .htaccess. Mối đe dọa về bộ tiêm .htaccess chạy một đoạn mã tiếp tục tìm kiếm tệp .htaccess của trang web. Sau khi xác định vị trí và đưa vào tập lệnh chuyển hướng độc hại, mối đe dọa sau đó sẽ đào sâu tìm kiếm và cố gắng tìm kiếm thêm các tệp và thư mục để tấn công.
Phương pháp chính để bảo vệ chống lại cuộc tấn công là loại bỏ hoàn toàn việc sử dụng tệp .htaccess. Trên thực tế, hỗ trợ mặc định cho các tệp .htaccess đã bị loại bỏ bắt đầu với Apache 2.3.9. Nhưng một số chủ sở hữu trang web vẫn chọn kích hoạt nó.