Sneeit WordPress RCE bị khai thác và ICTBroadcast thúc đẩy tấn công botnet Frost

[T-X]

Theo dữ liệu từ Wordfence, một lỗ hổng bảo mật nghiêm trọng trong plugin Sneeit Framework dành cho WordPress đang bị khai thác một cách tích cực.

Lỗ hổng thực thi mã từ xa được đề cập là CVE-2025-6389 (điểm CVSS: 9.8), ảnh hưởng đến tất cả các phiên bản của plugin trước và bao gồm cả phiên bản 8.3. Lỗ hổng này đã được vá trong phiên bản 8.4, phát hành vào ngày 5 tháng 8 năm 2025. Plugin này hiện có hơn 1.700 lượt cài đặt đang hoạt động.

"Điều này là do hàm [sneeit_articles_pagination_callback()] chấp nhận dữ liệu đầu vào của người dùng và sau đó truyền dữ liệu đó qua call_user_func()", Wordfence cho biết. "Điều này cho phép kẻ tấn công chưa được xác thực thực thi mã trên máy chủ, từ đó có thể lợi dụng để chèn mã độc hoặc tạo tài khoản người dùng quản trị mới chẳng hạn."

Nói cách khác, lỗ hổng bảo mật này có thể bị lợi dụng để gọi một hàm PHP tùy ý, chẳng hạn như wp_insert_user(), nhằm chèn một người dùng quản trị viên độc hại, sau đó kẻ tấn công có thể lợi dụng điều này để chiếm quyền kiểm soát trang web và đưa mã độc vào để chuyển hướng người truy cập trang web đến các trang web đáng ngờ khác, phần mềm độc hại hoặc thư rác.

Wordfence cho biết việc khai thác ngoài thực tế bắt đầu vào ngày 24 tháng 11 năm 2025, cùng ngày lỗ hổng được công bố rộng rãi, với việc công ty đã chặn hơn 131.000 nỗ lực nhắm vào lỗ hổng. Trong số đó, chỉ riêng trong 24 giờ qua đã ghi nhận 15.381 nỗ lực tấn công.

Một số nỗ lực bao gồm gửi các yêu cầu HTTP được thiết kế đặc biệt đến điểm cuối "/wp-admin/admin-ajax.php" để tạo một tài khoản người dùng quản trị độc hại như "arudikadis" và tải lên tệp PHP độc hại "tijtewmg.php" có khả năng cấp quyền truy cập cửa sau.

Các cuộc tấn công bắt nguồn từ các địa chỉ IP sau:

    185.125.50[.]59
    182.8.226[.]51
    89.187.175[.]80
    194.104.147[.]192
    196.251.100[.]39
    114.10.116[.]226
    116.234.108[.]143

Công ty bảo mật WordPress cho biết họ cũng phát hiện các tệp PHP độc hại có khả năng quét thư mục, đọc, chỉnh sửa hoặc xóa tệp và quyền của chúng, đồng thời cho phép trích xuất tệp ZIP. Các tệp PHP này có tên "xL.php", "Canonical.php", ".a.php" và "simple.php".

Theo Wordfence, shell "xL.php" được tải xuống bởi một tệp PHP khác có tên "up_sf.php" được thiết kế để khai thác lỗ hổng. Nó cũng tải xuống tệp ".htaccess" từ máy chủ bên ngoài ("racoonlab[.]top") vào máy chủ bị xâm nhập.

"Tệp.htaccess này đảm bảo quyền truy cập vào các tệp có phần mở rộng tệp nhất định được cấp trên máy chủ Apache", István Márton cho biết. "Điều này hữu ích trong trường hợp các tệp.htaccess khác cấm truy cập vào các tập lệnh, ví dụ như trong các thư mục tải lên."

Lỗ hổng ICTBroadcast bị khai thác để phát tán botnet DDoS "Frost". Tiết lộ này được đưa ra khi VulnCheck cho biết họ đã phát hiện các cuộc tấn công mới khai thác lỗ hổng ICTBroadcast quan trọng ( CVE-2025-2611, điểm CVSS: 9,3) nhắm vào các hệ thống honeypot của họ để tải xuống trình dàn dựng tập lệnh shell tải xuống nhiều phiên bản nhị phân dành riêng cho kiến trúc có tên là "frost".

Mỗi phiên bản đã tải xuống đều được thực thi, sau đó xóa các payload và chính stager để che giấu dấu vết hoạt động. Mục tiêu cuối cùng của hoạt động này là thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhắm vào các mục tiêu quan tâm.

"Mã nhị phân 'frost' kết hợp công cụ DDoS với logic phát tán, bao gồm mười bốn khai thác cho mười lăm lỗ hổng bảo mật (CVE)", Jacob Baines của VulnCheck cho biết. "Điều quan trọng là cách thức nó phát tán. Kẻ tấn công không rải thảm các khai thác trên internet. 'Frost' sẽ kiểm tra mục tiêu trước và chỉ tiến hành khai thác khi thấy các dấu hiệu cụ thể mà nó mong đợi."

Ví dụ, mã nhị phân chỉ khai thác CVE-2025-1610 sau khi nhận được phản hồi HTTP có chứa "Set-Cookie: user=(null)" và sau đó là phản hồi tiếp theo cho yêu cầu thứ hai có chứa "Set-Cookie: user=admin". Nếu không có các dấu hiệu này, mã nhị phân sẽ ở trạng thái không hoạt động và không làm gì cả. Các cuộc tấn công được khởi chạy từ địa chỉ IP 87.121.84[.]52.

Mặc dù các lỗ hổng đã được xác định đã bị nhiều botnet DDoS khai thác, bằng chứng cho thấy các cuộc tấn công mới nhất là một hoạt động nhỏ, có mục tiêu, vì có chưa đến 10.000 hệ thống kết nối internet dễ bị tấn công.

"Điều này hạn chế quy mô của một mạng botnet được xây dựng dựa trên các lỗ hổng CVE này, khiến cho kẻ tấn công này trở thành một đối tượng tương đối nhỏ", Baines nói. "Đáng chú ý là lỗ hổng ICTBroadcast đã phát tán mẫu này không xuất hiện trong tệp nhị phân, điều này cho thấy kẻ tấn công có những khả năng bổ sung không hiển thị ở đây."