Злоумышленники сканируют 1,6 млн сайтов WordPress на наличие слабого плагина

Исследователи безопасности обнаружили масштабную кампанию, в ходе которой почти 1,6 миллиона сайтов WordPress сканировались на наличие слабого плагина, позволяющего загружать файлы без аутентификации.

Злоумышленники нацелены на Kaswara Modern WPBakery Page Builder, который был заброшен его автором до получения исправления для серьезного риска, отслеживаемого как CVE-2021-24284.

Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, внедрять вредоносный код JavaScript на сайты с помощью любой версии подключаемого модуля и выполнять такие действия, как загрузка и удаление файлов, что может привести к полному захвату сайта.

Несмотря на то, что размер кампании впечатляет: таргетинг на 1599 852 уникальных сайта, только небольшая часть из них использует слабый плагин.

Исследователи из Defiant, производителя решения для безопасности Wordfence для WordPress, отмечают почти полмиллиона попыток атак в день на сайты клиентов, которые они защищают.

Масштабные незаметные атаки

Судя по удаленным данным Wordfence, атаки начались 4 июля и продолжаются по сей день. И это все еще происходит сегодня со средним числом 443 868 попыток в день.

Ежедневные атаки, зафиксированные и заблокированные Wordfence
Ежедневные атаки, зафиксированные и заблокированные Wordfence

Атаки исходили с 10 215 различных IP-адресов, некоторые из которых генерировали миллионы запросов, а другие были ограничены меньшим числом. Исследователи говорят.

IP-адреса, с которых были запущены атаки
IP-адреса, с которых были запущены атаки (Вордфенс)

Злоумышленники отправляют запрос POST на «wp-admin/admin-ajax/php», пытаясь использовать функцию AJAX плагина «uploadFontIcon» для загрузки вредоносной полезной нагрузки ZIP, содержащей файл PHP.

Этот файл, в свою очередь, вызывает трояна NDSW, который внедряет код в законные файлы JavaScript на целевых сайтах, чтобы перенаправить посетителей на вредоносные сайты, такие как фишинговые сайты и сайты с вредоносным ПО.

Некоторые имена файлов, которые злоумышленники используют для полезной нагрузки ZIP, — «injection.zip», «king_zip.zip», «null.zip», «plugin.zip» и «***_ young.zip».

READ  GTA V's stupidest memes recreated an IRL with the actual cast of the game

Эти файлы или наличие»; Если (ndsw == «строка в любом из ваших файлов JavaScript указывает на то, что вы заражены.

Если вы все еще используете плагин Kaswara Modern WPBakery Page Builder Addons, вы должны немедленно удалить его со своего сайта WordPress.

Если вы не используете плагин, все равно рекомендуется блокировать IP-адреса злоумышленников. Дополнительные сведения об указателях и самых популярных источниках запросов см. в блоге Wordfence.

Leonid Morozov

Создатель. Любитель кофе. Любитель Интернета. Организатор. Выродок поп-культуры. Поклонник телевидения. Гордый кулинарa

Добавить комментарий

Ваш адрес email не будет опубликован.

Наверх