安全研究人员检测到一场大规模的活动,该活动扫描了近万个WordPress网站,发现存在一个允许在未经身份验证的情况下上传文件的易受攻击的插件。
攻击者的目标是
KaswaraModernWPBakeryPageBuilder,该页面构建器已被其作者放弃,然后才收到跟踪为CVE--的严重严重缺陷的补丁。
该漏洞将允许未经身份验证的攻击者使用任何版本的插件向网站注入恶意Javascript,并执行上传和删除文件等操作,这可能导致完全接管该网站。
虽然该活动的规模令人印象深刻,有1,,个独特的网站成为目标,但其中只有一小部分在运行易受攻击的插件。
WordPressWordfence安全解决方案的制造商Defiant的研究人员观察到,他们保护的客户网站平均每天有近50万次攻击尝试。
模糊的大规模攻击
根据Wordfence遥测数据,攻击从7月4日开始,一直持续到今天。并且今天仍在进行中,平均每天有,次尝试。
捕获和阻止的日常攻击
研究人员说,这些攻击来自10,个不同的IP地址,其中一些已经产生了数百万个请求,而另一些则仅限于较少的数量。
我们看到的大多数攻击都是使用插件中的uploadFontIconAJAX操作向/wp-admin/admin-ajax.php发送POST请求,以将文件上传到受影响的网站。您的日志可能会针对这些事件显示以下查询字符串:
/wp-admin/admin-ajax.php?action=uploadFontIconHTTP/1.1
我们观察到10,个攻击IP地址,绝大多数攻击尝试来自以下前十个IP:
..48.和1,,次利用尝试被阻止
5.9.9.29已阻止,次利用尝试
2.58..35,,次利用尝试被阻止
20.94.76.10有,次利用尝试被阻止
20..76.37和,次利用尝试被阻止
20..35.和,次利用尝试被阻止
20...和,次利用尝试被阻止
5.39.15.与62,次利用尝试被阻止
.87.84.和32,次利用尝试被阻止
.87.84.和31,次利用尝试被阻
发起攻击的IP地址
根据我们对攻击数据的分析,大多数攻击者都试图上传一个名为a57bze.zip的zip文件。当攻击者成功上传zip文件时,一个名为a57bze.php的文件将被提取到/wp-content/uploads/kaswara/icons/目录中。恶意文件的MD5哈希值为d03ce33c7fe75acb8cddca。该文件是攻击者控制下的上传者。使用此文件,恶意行为者可以继续将文件上传到受感染的网站。
在这些攻击中观察到的指标还包括NDSW特洛伊木马的迹象,该木马将代码注入到其他合法的JavaScript文件中,并将网站访问者重定向到恶意网站。您的JavaScript文件中存在此字符串强烈表明您的站点已感染NDSW:
攻击者用于ZIP有效负载的一些文件名是:
“inject.zip”
“king_zip.zip”
“null.zip”
“plugin.zip”
“***_young.zip”
这些文件或存在“;如果您的任何JavaScript文件中的if(ndsw==”字符串表明您已被感染。
如果您不使用该插件,仍然建议您阻止攻击者的IP地址。
为了免受针对此漏洞的攻击,最好的选择是从您的WordPress网站中完全删除KaswaraModernWPBakeryPageBuilderAddons插件。
此时该插件已关闭,开发人员尚未对补丁做出回应。
如果您认识的朋友或同事在他们的网站上使用此插件,我们强烈建议您将此建议转发给他们,以帮助保护他们的网站,因为这是一个严重的漏洞,可能导致网站完全被接管。
网络研究院美国购物巨头泄露敏感用户数据