Penyerang memindai 1,6 juta situs WordPress untuk mencari plugin yang rentan
Peneliti keamanan telah mendeteksi kampanye besar-besaran yang memindai hampir 1,6 juta situs WordPress untuk mengetahui keberadaan plugin rentan yang memungkinkan pengunggahan file tanpa otentikasi.
Para penyerang menargetkan Kaswara Modern WPBakery Page Builder, yang telah ditinggalkan oleh pembuatnya sebelum menerima tambalan untuk cacat tingkat keparahan kritis yang dilacak sebagai CVE-2021-24284.
Kerentanan akan memungkinkan penyerang yang tidak diautentikasi untuk menyuntikkan Javascript berbahaya ke situs menggunakan versi plugin apa pun dan melakukan tindakan seperti mengunggah dan menghapus file, yang dapat menyebabkan pengambilalihan situs sepenuhnya.
Meskipun ukuran kampanye sangat mengesankan, dengan 1.599.852 situs unik yang ditargetkan, hanya sebagian kecil dari mereka yang menjalankan plugin yang rentan.
Para peneliti di Defiant, pembuat solusi keamanan Wordfence untuk WordPress, mengamati rata-rata hampir setengah juta upaya serangan per hari terhadap situs pelanggan yang mereka lindungi.
Serangan skala besar yang tidak jelas
Berdasarkan data telemetri Wordfence, serangan dimulai pada 4 Juli dan berlanjut hingga hari ini. dan masih berlangsung hingga saat ini dengan rata-rata 443.868 upaya setiap hari.
Serangan harian ditangkap dan diblokir oleh Wordfence
Serangan berasal dari 10.215 alamat IP yang berbeda, dengan beberapa telah menghasilkan jutaan permintaan sementara yang lain terbatas pada jumlah yang lebih rendah, kata para peneliti.
Alamat IP meluncurkan serangan (Wordfence)
Penyerang mengirim permintaan POST ke
'wp-admin/admin-ajax/php',
Mencoba menggunakan fungsi AJAX 'uploadFontIcon' plugin untuk mengunggah muatan ZIP berbahaya yang berisi file PHP.
File ini, pada gilirannya, mengambil trojan NDSW, yang menyuntikkan kode dalam file Javascript yang sah yang ada di situs target untuk mengarahkan pengunjung ke tujuan jahat seperti situs phishing dan menjatuhkan malware.
Beberapa nama file yang digunakan penyerang untuk muatan ZIP adalah 'inject.zip', 'king_zip.zip', 'null.zip', 'plugin.zip', dan '***_young.zip'.
File-file ini atau keberadaan “; if(ndsw==” string di salah satu file JavaScript Anda menunjukkan bahwa Anda telah terinfeksi.
Jika Anda masih menggunakan plugin Kaswara Modern WPBakery Page Builder Addons, Anda harus segera menghapusnya dari situs WordPress Anda.
Jika Anda tidak menggunakan plugin, Anda tetap disarankan untuk memblokir alamat IP penyerang. Untuk detail lebih lanjut tentang indikator dan sumber permintaan paling produktif, lihat blog Wordfence.
Tags
Vulnerability