Nghiêm trọng: Khai thác Remote Code Execution CVE-2025-6389
Một lỗ hổng remote code execution (RCE) nghiêm trọng trong plugin Sneeit Framework của WordPress đang bị các tác nhân đe dọa tích cực khai thác. Điều này đặt ra rủi ro tức thì cho hàng nghìn trang web trên toàn cầu.
Tổng quan về Lỗ hổng và Khai thác
Lỗ hổng này được theo dõi là CVE-2025-6389, với điểm CVSS 9.8 (nghiêm trọng). Nó tồn tại trong các phiên bản 8.3 trở xuống của plugin Sneeit Framework.
Plugin này hiện có khoảng 1.700 lượt cài đặt đang hoạt động trên nhiều trang WordPress và các theme trả phí.
Các nhà nghiên cứu bảo mật đã phát hiện lỗ hổng vào ngày 10 tháng 6 năm 2025 và báo cáo cho nhà cung cấp. Đội ngũ phát triển Sneeit Framework đã phát hành phiên bản vá lỗi vào ngày 5 tháng 8 năm 2025, và lỗ hổng được công khai vào ngày 24 tháng 11 năm 2025.
Các tác nhân đe dọa đã bắt đầu các nỗ lực khai thác ngay trong ngày công khai, triển khai các cuộc tấn công rộng rãi nhắm vào các cài đặt chưa được vá.
Phân tích Kỹ thuật Lỗ hổng CVE-2025-6389
Lỗ hổng CVE-2025-6389 bắt nguồn từ việc xác thực đầu vào không đầy đủ trong hàm sneeitarticlespaginationcallback.
Hàm này xử lý các tham số do người dùng cung cấp mà không có sự hạn chế phù hợp.
Kẻ tấn công khai thác lỗi này bằng cách gửi các yêu cầu AJAX được chế tạo đặc biệt đến điểm cuối wp-admin/admin-ajax.php.
Chúng tận dụng các tham số callback và args để thực thi mã PHP tùy ý trên máy chủ, dẫn đến khả năng remote code execution toàn diện.
Các nhà phân tích bảo mật của Wordfence đã xác định và ghi lại chiến dịch khai thác, tiết lộ rằng tường lửa Wordfence đã chặn hơn 131.000 nỗ lực khai thác kể từ khi lỗ hổng được công khai.
Wordfence đã cung cấp bảo vệ cho người dùng Premium vào ngày 23 tháng 6 năm 2025, và người dùng miễn phí nhận được bảo vệ vào ngày 23 tháng 7 năm 2025. Bất chấp sự bảo vệ này, lỗ hổng vẫn tiếp tục ảnh hưởng đến các trang web sử dụng các phiên bản plugin chưa được vá.
Để tìm hiểu thêm về chiến dịch khai thác, có thể tham khảo báo cáo của Wordfence tại: Wordfence Blog: Attackers Actively Exploiting Critical Vulnerability in Sneeit Framework Plugin.
Chiến thuật và Kỹ thuật Khai thác
Các tác nhân đe dọa sử dụng nhiều chiến thuật để vũ khí hóa lỗ hổng remote code execution này. Khai thác ban đầu thường liên quan đến việc gửi các yêu cầu POST chứa mã độc thông qua trình xử lý AJAX.
Quy trình Tấn công Mạng Tiêu biểu
Các cuộc tấn công mạng tuân theo một mô hình nhất quán, bắt đầu bằng quá trình trinh sát.
Kẻ tấn công sử dụng các hàm phpinfo để thu thập thông tin máy chủ chi tiết.
Các yêu cầu tiếp theo cố gắng tạo các tài khoản quản trị trái phép hoặc tải lên các tệp PHP độc hại nhằm thiết lập quyền truy cập backdoor dai dẳng.
Vector Tấn công và Mã độc
Một vector tấn công phổ biến sử dụng hàm wp_insert_user để tạo các tài khoản quản trị mới, cấp cho kẻ tấn công quyền kiểm soát trang web hoàn toàn.
Các phương pháp thay thế bao gồm tải lên các tệp PHP độc hại với tên như xL.php, Canonical.php và tijtewmg.php.
Các tệp này thường chứa các chức năng tinh vi, bao gồm quét thư mục, quản lý tệp, khả năng giải nén zip và các công cụ sửa đổi quyền.
Các mẫu mã độc liên quan bao gồm upsf.php, tải xuống thêm các shell từ tên miền điều khiển bởi kẻ tấn công là racoonlab.top.
Các shell này tạo điều kiện cho việc tạo các tệp .htaccess độc hại. Các tệp .htaccess này cho phép bỏ qua các hạn chế thư mục tải lên trên máy chủ Apache, tạo điều kiện cho việc triển khai mã độc sâu hơn.
Chỉ số Xâm nhập (IOCs)
Các chỉ số xâm nhập liên quan đến chiến dịch khai thác lỗ hổng remote code execution này bao gồm:
- Tên miền điều khiển (C2 Domain):
racoonlab.top - Tệp PHP độc hại (Malicious PHP Files):
xL.phpCanonical.phptijtewmg.phpupsf.php
Biện pháp Khắc phục Khẩn cấp
Chủ sở hữu trang web phải thực hiện cập nhật bản vá ngay lập tức lên Sneeit Framework phiên bản 8.4 hoặc mới hơn để khắc phục lỗ hổng remote code execution nghiêm trọng này.
Việc không cập nhật bản vá kịp thời sẽ làm tăng nguy cơ bị xâm nhập hoàn toàn trang web, cài đặt backdoor và đánh cắp dữ liệu nhạy cảm.
Các quản trị viên hệ thống nên kiểm tra nhật ký máy chủ và các tệp trong thư mục cài đặt WordPress để tìm bất kỳ IOC nào được liệt kê ở trên.
Nếu phát hiện dấu hiệu xâm nhập, cần thực hiện các bước phản ứng sự cố khẩn cấp bao gồm khôi phục từ bản sao lưu sạch, thay đổi thông tin xác thực và tăng cường giám sát bảo mật.
