Хакеры просканировали около 1,6 млн сайтов на базе WordPress в поисках уязвимости

2022-07-16 01:25:13 Время чтения 2 мин 98

Исследователи из компании Defiant обнаружили масштабную кампанию, в ходе которой злоумышленники просканировано около 1,6 млн сайтов на базе WordPress. Хакеры искали уязвимый плагин Kaswara Modern WPBakery Page Builder, который позволяет загружать файлы без аутентификации.

Дело в том, что плагин Kaswara Modern WPBakery Page Builder был заброшен автором некоторое время назад, и уже после этого в нем нашли критическую уязвимость CVE-2021-24284. Баг позволяет неаутентифицированным злоумышленникам внедрять на сайты хакерский код Javascript, так как из-за бага любая версия плагина позволяет загружать и удалять файлы, что в итоге может вести к захвату ресурса.

Сканирования происходят следующим образом: атакующие отправляют POST-запрос на wp-admin/admin-ajax/php, пытаясь использовать AJAX-функцию плагина uploadFontIcon для загрузки вредоносной полезной нагрузки (файл ZIP, содержащий файл PHP).

Этот файл, в свою очередь, запускает трояна NDSW, который делает JavaScript-инъекции в легитимные файлы целевых сайтов, чтобы те перенаправляли посетителей на вредоносные ресурсы, включая фишинговые сайты и сайты с малварью.

Аналитики Defiant сообщают, что сканированиям уже подверглись 1 599 852 уникальных сайта, хотя лишь небольшая часть из них действительно использовала уязвимый плагин.

Судя по данным телеметрии Wordfence, атаки начались 4 июля и продолжаются по сей день: в среднем за день злоумышленники предпринимают 443 868 попыток сканирования. При этом атаки исходят с 10 215 различных IP-адресов, причем некоторые из них генерируют миллионы запросов, а другие демонстрируют гораздо меньшую активность.

Всем, кто до сих пор пользуется плагином Kaswara Modern WPBakery Page Builder, рекомендуется как можно быстрее удалить его со своего сайта.