安全研究人员已经检测到一项大型营销活动,该活动扫描了近 160 万个 WordPress 站点,以查找是否存在允许在未经身份验证的情况下导入信息的易受攻击的插件。
攻击者将注意力集中在 Kaswara Modern WPBakery Page Builder 上,在收到跟踪为 CVE-2021-24284 的重要严重缺陷的补丁之前,它已被其作者遗弃。
该漏洞将允许未经身份验证的攻击者利用任何模型的插件向站点注入恶意 Javascript,并执行导入和删除信息等操作,这可能导致完全接管该位置。
虽然营销活动的规模是惊人的,有 1,599,852 个独特的网站被关注,但其中只有一小部分正在使用易受攻击的插件。
为 WordPress 制定 Wordfence 安全解决方案的 Defiant 的研究人员注意到,每天平均有近 50 万次攻击企图攻击他们屏蔽的买家网站。
不明显的大规模袭击
根据 Wordfence 遥测知识,攻击从 7 月 4 日开始,一直持续到今天。并且目前仍在进行中,平均每天有 443,868 次尝试。
研究人员说,这些攻击来自 10,215 个不同的 IP 地址,其中一些已经产生了数千万个请求,而另一些则被限制在减少数量。
攻击者向“wp-admin/admin-ajax/php”发送一个 POST 请求,试图利用插件的“uploadFontIcon”AJAX 操作来添加一个包含 PHP 文件的恶意 ZIP 有效负载。
反过来,该文件会获取 NDSW 特洛伊木马程序,该木马程序会在目标站点上当前的官方 Javascript 信息中注入代码,以将访客重定向到网络钓鱼和恶意软件投放站点等恶意位置。
攻击者用于 ZIP 有效负载的一些文件名是“inject.zip”、“king_zip.zip”、“null.zip”、“plugin.zip”和“***_young.zip”。
这些信息或存在“;如果您的任何 JavaScript 信息中的 if(ndsw==” 字符串表示您已被污染。
如果您仍在使用 Kaswara Modern WPBakery Page Builder Addons 插件,最好立即将其从您的 WordPress 网站中删除。
如果您没有使用该插件,您仍然可以阻止攻击者的 IP 地址。有关症状的更多详细信息以及基本上最多产的请求来源,请查看 Wordfence 的博客。