Một lỗ hổng bảo mật nghiêm trọng trong plugin Sneeit Framework dành cho WordPress đang bị khai thác tích cực trong thực tế, theo dữ liệu từ Wordfence.
Lỗ hổng thực thi mã từ xa (RCE) này là CVE-2025-6389 (điểm CVSS: 9.8), ảnh hưởng đến tất cả các phiên bản của plugin trước và bao gồm 8.3. Nó đã được vá trong phiên bản 8.4, phát hành vào ngày 5 tháng 8 năm 2025. Plugin này có hơn 1.700 lượt cài đặt đang hoạt động.
Wordfence cho biết: "Điều này là do hàm [sneeit_articles_pagination_callback()] chấp nhận dữ liệu đầu vào từ người dùng và sau đó truyền nó qua call_user_func(). Điều này giúp kẻ tấn công chưa xác thực có thể thực thi mã trên máy chủ, có thể được dùng để chèn backdoors hoặc, ví dụ, tạo tài khoản người dùng quản trị mới."
Nói cách khác, lỗ hổng có thể được khai thác để gọi một hàm PHP tùy ý, chẳng hạn như wp_insert_user(), nhằm chèn một người dùng quản trị độc hại. Kẻ tấn công sau đó có thể vũ khí hóa tài khoản này để chiếm quyền kiểm soát trang web và chèn mã độc có thể chuyển hướng khách truy cập trang web đến các trang web lừa đảo, malware hoặc spam khác.
Wordfence cho biết việc in-the-wild exploitation bắt đầu vào ngày 24 tháng 11 năm 2025, cùng ngày nó được công bố công khai, với việc công ty đã chặn hơn 131.000 nỗ lực nhắm mục tiêu vào lỗ hổng này. Trong số đó, 15.381 nỗ lực tấn công đã được ghi nhận chỉ trong 24 giờ qua.
Một số nỗ lực bao gồm việc gửi các yêu cầu HTTP được tạo đặc biệt đến điểm cuối "/wp-admin/admin-ajax.php" để tạo một tài khoản người dùng quản trị độc hại như "arudikadis" và tải lên một tệp PHP độc hại "tijtewmg.php" có khả năng cấp quyền truy cập backdoor.
Các cuộc tấn công có nguồn gốc từ các địa chỉ IP sau:
- 185.125.50[.]59
- 182.8.226[.]51
- 89.187.175[.]80
- 194.104.147[.]192
- 196.251.100[.]39
- 114.10.116[.]226
- 116.234.108[.]143
Công ty bảo mật WordPress cho biết họ cũng quan sát thấy các tệp PHP độc hại có khả năng quét thư mục, đọc, chỉnh sửa hoặc xóa tệp và quyền của chúng, đồng thời cho phép giải nén các tệp ZIP. Các tệp PHP này có tên là "xL.php," "Canonical.php," ".a.php," và "simple.php."
Shell "xL.php", theo Wordfence, được tải xuống bởi một tệp PHP khác có tên "up_sf.php" được thiết kế để exploit lỗ hổng. Nó cũng tải xuống một tệp ".htaccess" từ máy chủ bên ngoài ("racoonlab[.]top") vào máy chủ bị xâm nhập.
István Márton cho biết: "Tệp .htaccess này đảm bảo quyền truy cập vào các tệp có phần mở rộng nhất định được cấp trên máy chủ Apache. Điều này hữu ích trong các trường hợp các tệp .htaccess khác cấm truy cập vào các scripts, ví dụ, trong các thư mục tải lên."
Lỗ hổng ICTBroadcast bị khai thác để phân phối botnet "Frost" DDoS
Tiết lộ này được đưa ra khi VulnCheck cho biết họ đã quan sát thấy các cuộc tấn công mới khai thác một lỗ hổng nghiêm trọng của ICTBroadcast (CVE-2025-2611, điểm CVSS: 9.3) nhắm vào các hệ thống honeypot của họ để tải xuống một shell script stager sau đó tải nhiều phiên bản nhị phân "frost" dành riêng cho từng kiến trúc.
Mỗi phiên bản đã tải xuống được thực thi, sau đó các payload và stager bị xóa để che giấu dấu vết hoạt động. Mục tiêu cuối cùng của hoạt động này là thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) chống lại các mục tiêu quan tâm.
Jacob Baines của VulnCheck cho biết: "Mã nhị phân 'frost' kết hợp công cụ DDoS với logic phát tán bao gồm mười bốn exploits cho mười lăm CVE. Phần quan trọng là cách nó lây lan. Kẻ vận hành không "ném bom thảm" internet bằng các exploits. 'Frost' kiểm tra mục tiêu trước và chỉ tiến hành khai thác khi nó thấy các chỉ báo cụ thể mà nó mong đợi."
Ví dụ, mã nhị phân exploits CVE-2025-1610 chỉ sau khi nhận được phản hồi HTTP có chứa "Set-Cookie: user=(null)" và sau đó là phản hồi tiếp theo cho yêu cầu thứ hai có chứa "Set-Cookie: user=admin." Nếu các dấu hiệu đó không có, mã nhị phân sẽ ở trạng thái không hoạt động và không làm gì cả. Các cuộc tấn công được khởi động từ địa chỉ IP 87.121.84[.]52.
Trong khi các lỗ hổng đã xác định đã bị exploited bởi nhiều DDoS botnets khác nhau, bằng chứng cho thấy các cuộc tấn công mới nhất là một hoạt động nhỏ, có mục tiêu, vì có ít hơn 10.000 hệ thống tiếp xúc với internet dễ bị tổn thương bởi chúng.
Baines cho biết: "Điều này hạn chế quy mô của một botnet được xây dựng dựa trên các CVE này, khiến kẻ vận hành này trở thành một người chơi tương đối nhỏ. Đáng chú ý, exploit của ICTBroadcast đã phân phối mẫu này không xuất hiện trong mã nhị phân, điều này cho thấy kẻ vận hành có các khả năng bổ sung không hiển thị ở đây."
