مهاجمان 1.6 میلیون سایت وردپرس را برای یافتن افزونه آسیب پذیر اسکن می کنند
محققان امنیتی کمپین عظیمی را شناسایی کرده اند که نزدیک به 1.6 میلیون سایت وردپرس را برای وجود یک افزونه آسیب پذیر اسکن کرده است که امکان آپلود فایل ها بدون احراز هویت را فراهم می کند.
مهاجمان صفحهساز Kaswara Modern WPBakery را هدف قرار میدهند که توسط نویسنده آن قبل از دریافت وصلهای برای یک نقص جدی که بهعنوان CVE-2021-24284 ردیابی میشود، رها شده است.
این آسیبپذیری به یک مهاجم تایید نشده اجازه میدهد تا جاوا اسکریپت مخرب را با استفاده از هر نسخه از افزونه به سایتها تزریق کند و اقداماتی مانند آپلود و حذف فایلها را انجام دهد که میتواند منجر به تسخیر کامل سایت شود.
محققان در Defiant، سازنده راه حل امنیتی Wordfence برای وردپرس، به طور متوسط تقریباً نیم میلیون حمله در روز را علیه سایت های مشتریانی که محافظت می کنند مشاهده کردند.
حملات نامشخص در مقیاس بزرگ
بر اساس داده های تله متری Wordfence، حملات از 4 جولای آغاز شد و تا امروز ادامه دارد. و امروز با میانگین 443868 تلاش در روز همچنان ادامه دارد.
به گفته محققین، این حملات از 10215 آدرس IP مجزا سرچشمه می گیرند، برخی از آنها میلیون ها درخواست ایجاد کرده اند در حالی که برخی دیگر به تعداد کمتری محدود شده اند.
مهاجمان یک درخواست POST را به «wp-admin/admin-ajax/php» ارسال میکنند و سعی میکنند از عملکرد افزونه آژاکس(AJAX) ‘uploadFontIcon’ برای آپلود یک فایل ZIP مخرب که حاوی یک فایل PHP است استفاده کنند.
این فایل به نوبه خود تروجان NDSW را دریافت می کند که کد را در فایل های جاوا اسکریپت قانونی موجود در سایت های هدف تزریق می کند تا بازدیدکنندگان را به مقصدهای مخرب مانند سایت های فیشینگ و حذف بدافزار هدایت کند.
برخی از نامهای فایلی که مهاجمان برای بسته های داده ZIP استفاده میکنند عبارتند از: ‘inject.zip’, ‘king_zip.zip’, ‘null.zip’, ‘plugin.zip’, and ‘***_young.zip’.
وجود این فایل ها و یا”==if(ndsw ;” در هر یک از فایل های جاوا اسکریپت نشان می دهد که شما آلوده شده اید.
اگر هنوز از افزونه Kaswara Modern WPBakery Page Builder Addons استفاده می کنید، باید فوراً آن را از سایت وردپرس خود حذف کنید.
اگر از افزونه استفاده نمی کنید، همچنان به شما توصیه می شود که آدرس های IP مهاجمان را مسدود کنید. برای جزئیات بیشتر در مورد شاخص ها و پربارترین منابع درخواست ها، وبلاگ Wordfence را بررسی کنید.
منبع:
