Исследователи из компании Defiant обнаружили масштабную кампанию, в ходе которой злоумышленники просканировано около 1,6 млн сайтов на базе WordPress. Хакеры искали уязвимый плагин Kaswara Modern WPBakery Page Builder, который позволяет загружать файлы без аутентификации.
Дело в том, что плагин Kaswara Modern WPBakery Page Builder был заброшен автором некоторое время назад, и уже после этого в нем нашли критическую уязвимость CVE-2021-24284. Баг позволяет неаутентифицированным злоумышленникам внедрять на сайты вредоносный код Javascript, так как из-за бага любая версия плагина позволяет загружать и удалять файлы, что в итоге может вести к захвату ресурса.
Сканирования происходят следующим образом: атакующие отправляют POST-запрос на wp-admin/admin-ajax/php, пытаясь использовать AJAX-функцию плагина uploadFontIcon для загрузки вредоносной полезной нагрузки (файл ZIP, содержащий файл PHP).
Этот файл, в свою очередь, запускает трояна NDSW, который делает JavaScript-инъекции в легитимные файлы целевых сайтов, чтобы те перенаправляли посетителей на вредоносные ресурсы, включая фишинговые сайты и сайты с малварью.
Аналитики Defiant сообщают, что сканированиям уже подверглись 1 599 852 уникальных сайта, хотя лишь небольшая часть из них действительно использовала уязвимый плагин.
Судя по данным телеметрии Wordfence, атаки начались 4 июля и продолжаются по сей день: в среднем за день злоумышленники предпринимают 443 868 попыток сканирования. При этом атаки исходят с 10 215 различных IP-адресов, причем некоторые из них генерируют миллионы запросов, а другие демонстрируют гораздо меньшую активность.
Отмечается, что для своих ZIP-пейлоадов злоумышленники используют следующие имена файлов: inject.zip, king_zip.zip, null.zip, plugin.zip и ***_young.zip. Эти файлы, а также наличие строки «; if(ndsw==» в любом из файлов JavaScript указывают на компрометацию.
Всем, кто до сих пор пользуется плагином Kaswara Modern WPBakery Page Builder, рекомендуется как можно быстрее удалить его со своего сайта.
