Campanha procura por 1.6 milhão de sites WordPress vulneráveis

Pesquisadores da Defiant descobriram que uma nova campanha procura por 1.6 milhão de sites WordPress vulneráveis por causa de um plugin.

Pesquisadores de segurança detectaram uma campanha massiva que escaneou cerca de 1,6 milhão de sites WordPress em busca de um plug-in vulnerável que permite o upload de arquivos sem autenticação.

Campanha procura por 1.6 milhão de sites WordPress vulneráveis

Campanha procura por 1.6 milhão de sites WordPress vulneráveis
Campanha procura por 1.6 milhão de sites WordPress vulneráveis – Endereços IP que lançam os ataques (Wordfence)

Os invasores têm como alvo o Kaswara Modern WPBakery Page Builder, que foi abandonado por seu autor antes de receber um patch para uma falha crítica de gravidade rastreada como CVE-2021-24284.

A vulnerabilidade permitiria que um invasor não autenticado injetasse Javascript malicioso em sites usando qualquer versão do plug-in e executasse ações como upload e exclusão de arquivos, o que poderia levar ao controle completo do site.

Embora o tamanho da campanha seja impressionante, com 1.599.852 sites únicos sendo segmentados, apenas uma pequena parte deles está executando o plugin vulnerável.

Pesquisadores da Defiant, fabricante da solução de segurança Wordfence para WordPress, observaram uma média de quase meio milhão de tentativas de ataque por dia contra sites de clientes que eles protegem.

Com base nos dados de telemetria do Wordfence, os ataques começaram em 4 de julho e continuam até hoje. e ainda estão em andamento hoje em uma média de 443.868 tentativas por dia.

Campanha procura por 1.6 milhão de sites WordPress vulneráveis
Campanha procura por 1.6 milhão de sites WordPress vulneráveis – Ataques diários capturados e bloqueados pelo Wordfence

Os ataques se originam de 10.215 endereços IP distintos, com alguns gerando milhões de solicitações, enquanto outros estão limitados a números menores, dizem os pesquisadores.

Os invasores enviam uma solicitação POST para ‘wp-admin/admin-ajax/php’, tentando usar a função AJAX ‘uploadFontIcon’ do plug-in para fazer upload de uma carga ZIP maliciosa que contém um arquivo PHP.

Esse arquivo, por sua vez, busca o trojan NDSW, que injeta código em arquivos Javascript legítimos presentes nos sites de destino para redirecionar os visitantes para destinos maliciosos, como sites de phishing e malware.

Alguns nomes de arquivo que os invasores usam para as cargas ZIP são ‘inject.zip’, ‘king_zip.zip’, ‘null.zip’, ‘plugin.zip’ e ‘***_young.zip’.

Esses arquivos ou a presença do “; if(ndsw==” string em qualquer um de seus arquivos JavaScript indica que você foi infectado.

Se você ainda estiver usando o plug-in Kaswara Modern WPBakery Page Builder Addons, remova-o imediatamente do seu site WordPress. Se você não estiver usando o plug-in, ainda é recomendável bloquear os endereços IP dos invasores.

Para mais detalhes sobre os indicadores e as fontes mais prolíficas de solicitações, confira o blog do Wordfence.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.