Los investigadores de seguridad han descubierto una campaña masiva que escaneó casi 1,6 millones de sitios de WordPress en busca de la presencia de un complemento vulnerable que permite cargar archivos sin autenticación.
Los atacantes tienen como objetivo Kaswara Modern WPBakery Page Builder, que fue abandonado por su autor antes de recibir un parche para un error de gravedad crítica rastreado como CVE-2021-24284.
La vulnerabilidad permitiría a un atacante no autenticado inyectar javascript malicioso en sitios web utilizando cualquier versión del complemento y realizar acciones como cargar y eliminar archivos, lo que podría conducir a la toma completa del sitio web.
Aunque el tamaño de la campaña es impresionante con 1 599 852 páginas de destino únicas, solo una pequeña fracción de ellas ejecuta el complemento vulnerable.
Los investigadores de Defiant, el fabricante de la solución de seguridad Wordfence para WordPress, observaron un promedio de casi medio millón de intentos de ataques por día en los sitios de los clientes que protegen.
Ataques indistintos a gran escala
Según los datos de telemetría de Wordfence, los ataques comenzaron el 4 de julio y continúan hasta el día de hoy. y todavía se ejecutan hoy en un promedio de 443,868 intentos por día.
Los ataques diarios son rastreados y bloqueados por Wordfence
Los ataques provinieron de 10,215 direcciones IP diferentes, algunas generaron millones de solicitudes mientras que otras se limitaron a números más bajos, dicen los investigadores.
Direcciones IP que lanzan los ataques (valla de palabras)
Los atacantes envían una solicitud POST a wp-admin/admin-ajax/php e intentan usar la función AJAX uploadFontIcon del complemento para cargar una carga maliciosa ZIP que contiene un archivo PHP.
Este archivo, a su vez, obtiene el troyano NDSW que inyecta código en archivos javascript legítimos presentes en las páginas de destino para redirigir a los visitantes a objetivos maliciosos como sitios de phishing y malware.
Algunos nombres de archivo utilizados por los atacantes para las cargas ZIP son «inject.zip», «king_zip.zip», «null.zip», «plugin.zip» y «***_young.zip».
Estos archivos o la presencia del «; if(ndsw==» Una cadena en uno de sus archivos JavaScript indica que ha sido infectado.
Si aún usa el complemento Kaswara Modern WPBakery Page Builder Addons, debe eliminarlo de su sitio de WordPress de inmediato.
Si no usa el complemento, aún se recomienda bloquear las direcciones IP de los atacantes. Para obtener más detalles sobre los indicadores y las fuentes de consultas más productivas, visite el blog de Wordfence.