Pesquisadores da Defiant descobriram que uma nova campanha procura por 1.6 milhão de sites WordPress vulneráveis por causa de um plugin.
Pesquisadores de segurança detectaram uma campanha massiva que escaneou cerca de 1,6 milhão de sites WordPress em busca de um plug-in vulnerável que permite o upload de arquivos sem autenticação.
Campanha procura por 1.6 milhão de sites WordPress vulneráveis
Os invasores têm como alvo o Kaswara Modern WPBakery Page Builder, que foi abandonado por seu autor antes de receber um patch para uma falha crítica de gravidade rastreada como CVE-2021-24284.
A vulnerabilidade permitiria que um invasor não autenticado injetasse Javascript malicioso em sites usando qualquer versão do plug-in e executasse ações como upload e exclusão de arquivos, o que poderia levar ao controle completo do site.
Embora o tamanho da campanha seja impressionante, com 1.599.852 sites únicos sendo segmentados, apenas uma pequena parte deles está executando o plugin vulnerável.
Pesquisadores da Defiant, fabricante da solução de segurança Wordfence para WordPress, observaram uma média de quase meio milhão de tentativas de ataque por dia contra sites de clientes que eles protegem.
Com base nos dados de telemetria do Wordfence, os ataques começaram em 4 de julho e continuam até hoje. e ainda estão em andamento hoje em uma média de 443.868 tentativas por dia.
Os ataques se originam de 10.215 endereços IP distintos, com alguns gerando milhões de solicitações, enquanto outros estão limitados a números menores, dizem os pesquisadores.
Os invasores enviam uma solicitação POST para ‘wp-admin/admin-ajax/php’, tentando usar a função AJAX ‘uploadFontIcon’ do plug-in para fazer upload de uma carga ZIP maliciosa que contém um arquivo PHP.
Esse arquivo, por sua vez, busca o trojan NDSW, que injeta código em arquivos Javascript legítimos presentes nos sites de destino para redirecionar os visitantes para destinos maliciosos, como sites de phishing e malware.
Alguns nomes de arquivo que os invasores usam para as cargas ZIP são ‘inject.zip’, ‘king_zip.zip’, ‘null.zip’, ‘plugin.zip’ e ‘***_young.zip’.
Esses arquivos ou a presença do “; if(ndsw==
” string em qualquer um de seus arquivos JavaScript indica que você foi infectado.
Se você ainda estiver usando o plug-in Kaswara Modern WPBakery Page Builder Addons, remova-o imediatamente do seu site WordPress. Se você não estiver usando o plug-in, ainda é recomendável bloquear os endereços IP dos invasores.
Para mais detalhes sobre os indicadores e as fontes mais prolíficas de solicitações, confira o blog do Wordfence.