WordPress Wordfence Defiant IP-адрес jаvascript
Ежедневно происходит более 400 тыс. попыток взлома
Исследователи безопасности обнаружили масштабную кампанию, в ходе которой было проверено около 1,6 млн. сайтов WordPress на наличие уязвимого плагина, позволяющего загружать файлы без аутентификации.
Злоумышленники нацелены на плагин Kaswara Modern WPBakery Page Builder , который был заброшен его автором до момента исправления критической уязвимости CVE-2021-24284 . Уязвимость позволяет неавторизованному киберпреступнику внедрять вредоносный jаvascript-код на сайты с помощью любой версии плагина, и выполнять загрузку и удаление файлов, что может привести к полному захвату сайта.
Попыткам взлома подверглись 1 599 852 уникальных сайта, лишь небольшая часть из них использует уязвимый плагин. Согласно отчету Wordfence Threat Intelligence Team , атаки продолжаются с 4 июля, в среднем происходит 443 868 попыток атак каждый день. Атаки проводятся с 10 215 различных IP-адресов, причем некоторые из них генерируют миллионы запросов, а другие ограничиваются меньшим количеством.
Злоумышленники отправляют POST-запрос на
«wp-admin/admin-ajax/php», пытаясь использовать AJAX-функцию плагина
«uploadFontIcon» для загрузки вредоносной полезной нагрузки, содержащей PHP-файл. Этот файл вызывает трояна NDSW, который внедряет код в jаvascript-файлы, присутствующие на целевых сайтах, чтобы перенаправлять посетителей на фишинговые сайты и сайты с вредоносным ПО.
Пользователям следует удалить плагин Kaswara Modern WPBakery Page Builder Addons со своих сайтов WordPress. Если плагин не используется, пользователям все равно рекомендуется блокировать IP-адреса злоумышленников.
SECURITYLAB.RU
.png)
