مهاجمان 1.6 میلیون سایت وردپرس را برای یافتن افزونه آسیب پذیر اسکن می کنند

محققان امنیتی کمپین عظیمی را شناسایی کرده اند که نزدیک به 1.6 میلیون سایت وردپرس را برای وجود یک افزونه آسیب پذیر اسکن کرده است که امکان آپلود فایل ها بدون احراز هویت را فراهم می کند.

مهاجمان صفحه‌ساز Kaswara Modern WPBakery را هدف قرار می‌دهند که توسط نویسنده آن قبل از دریافت وصله‌ای برای یک نقص جدی که به‌عنوان CVE-2021-24284 ردیابی می‌شود، رها شده است.

این آسیب‌پذیری به یک مهاجم تایید نشده اجازه می‌دهد تا جاوا اسکریپت مخرب را با استفاده از هر نسخه از افزونه به سایت‌ها تزریق کند و اقداماتی مانند آپلود و حذف فایل‌ها را انجام دهد که می‌تواند منجر به تسخیر کامل سایت شود.

محققان در Defiant، سازنده راه حل امنیتی Wordfence برای وردپرس، به طور متوسط تقریباً نیم میلیون حمله در روز را علیه سایت های مشتریانی که محافظت می کنند مشاهده کردند.

حملات نامشخص در مقیاس بزرگ

بر اساس داده های تله متری Wordfence، حملات از 4 جولای آغاز شد و تا امروز ادامه دارد. و امروز با میانگین 443868 تلاش در روز همچنان ادامه دارد.

به گفته محققین، این حملات از 10215 آدرس IP مجزا سرچشمه می گیرند، برخی از آنها میلیون ها درخواست ایجاد کرده اند در حالی که برخی دیگر به تعداد کمتری محدود شده اند.

مهاجمان یک درخواست POST را به «wp-admin/admin-ajax/php» ارسال می‌کنند و سعی می‌کنند از عملکرد افزونه آژاکس(AJAX) ‘uploadFontIcon’ برای آپلود یک فایل ZIP مخرب که حاوی یک فایل PHP است استفاده کنند.

این فایل به نوبه خود تروجان NDSW را دریافت می کند که کد را در فایل های جاوا اسکریپت قانونی موجود در سایت های هدف تزریق می کند تا بازدیدکنندگان را به مقصدهای مخرب مانند سایت های فیشینگ و حذف بدافزار هدایت کند.

برخی از نام‌های فایلی که مهاجمان برای بسته های داده ZIP استفاده می‌کنند عبارتند از: ‘inject.zip’, ‘king_zip.zip’, ‘null.zip’, ‘plugin.zip’, and ‘***_young.zip’.

وجود این فایل ها و یا”==if(ndsw ;” در هر یک از فایل های جاوا اسکریپت نشان می دهد که شما آلوده شده اید.

اگر هنوز از افزونه Kaswara Modern WPBakery Page Builder Addons استفاده می کنید، باید فوراً آن را از سایت وردپرس خود حذف کنید.

اگر از افزونه استفاده نمی کنید، همچنان به شما توصیه می شود که آدرس های IP مهاجمان را مسدود کنید. برای جزئیات بیشتر در مورد شاخص ها و پربارترین منابع درخواست ها، وبلاگ Wordfence را بررسی کنید.

منبع:

https://www.bleepingcomputer.com/news/security/attackers-scan-16-million-wordpress-sites-for-vulnerable-plugin/