Миллионы сайтов WordPress могут быть захвачены из-за одного плагина

Исследователи безопасности обнаружили масштабную кампанию, в ходе которой было проверено около 1,6 млн. сайтов WordPress на наличие уязвимого плагина, позволяющего загружать файлы без аутентификации.

Злоумышленники нацелены на плагин Kaswara Modern WPBakery Page Builder , который был заброшен его автором до момента исправления критической уязвимости CVE-2021-24284 . Уязвимость позволяет неавторизованному киберпреступнику внедрять вредоносный JavaScript-код на сайты с помощью любой версии плагина, и выполнять загрузку и удаление файлов, что может привести к полному захвату сайта.

Попыткам взлома подверглись 1 599 852 уникальных сайта, лишь небольшая часть из них использует уязвимый плагин. Согласно отчету Wordfence Threat Intelligence Team , атаки продолжаются с 4 июля, в среднем происходит 443 868 попыток атак каждый день. Атаки проводятся с 10 215 различных IP-адресов, причем некоторые из них генерируют миллионы запросов, а другие ограничиваются меньшим количеством.

Злоумышленники отправляют POST-запрос на «wp-admin/admin-ajax/php», пытаясь использовать AJAX-функцию плагина «uploadFontIcon» для загрузки вредоносной полезной нагрузки, содержащей PHP-файл. Этот файл вызывает трояна NDSW, который внедряет код в JavaScript-файлы, присутствующие на целевых сайтах, чтобы перенаправлять посетителей на фишинговые сайты и сайты с вредоносным ПО.

Пользователям следует удалить плагин Kaswara Modern WPBakery Page Builder Addons со своих сайтов WordPress. Если плагин не используется, пользователям все равно рекомендуется блокировать IP-адреса злоумышленников.