Güvenlik araştırmacıları, dosyaların kimlik doğrulaması olmadan yüklenmesine izin veren güvenlik açığı bulunan bir eklentinin varlığı için 1,6 milyona yakın WordPress sitesini tarayan büyük bir kampanya tespit etti.
Saldırganlar, şu şekilde izlenen kritik önemdeki bir kusur için bir yama almadan önce yazarı tarafından terk edilen Kaswara Modern WPBakery Sayfa Oluşturucu’yu hedef alıyor. CVE-2021-24284.
Güvenlik açığı, kimliği doğrulanmamış bir saldırganın, eklentinin herhangi bir sürümünü kullanan sitelere kötü amaçlı Javascript enjekte etmesine ve sitenin tamamen ele geçirilmesine yol açabilecek dosya yükleme ve silme gibi eylemler gerçekleştirmesine olanak tanır.
1.599.852 benzersiz site hedeflendiğinden kampanyanın boyutu etkileyici olsa da, bunların yalnızca küçük bir kısmı savunmasız eklentiyi çalıştırıyor.
WordPress için Wordfence güvenlik çözümünün üreticisi Defiant’taki araştırmacılar, korudukları müşteri sitelerine karşı günde ortalama yaklaşık yarım milyon saldırı girişimi gözlemledi.
Belirsiz büyük ölçekli saldırılar
Wordfence telemetri verilerine dayanarak, saldırılar 4 Temmuz’da başladı ve bu güne kadar devam ediyor. ve bugün hala her gün ortalama 443.868 denemede devam ediyor.
Saldırılar 10.215 farklı IP adresinden kaynaklanır, bazıları milyonlarca istek oluştururken diğerleri daha düşük sayılarla sınırlıdır. araştırmacılar diyor.
Saldırganlar, PHP dosyası içeren kötü amaçlı bir ZIP yükü yüklemek için eklentinin ‘uploadFontIcon’ AJAX işlevini kullanmaya çalışarak ‘wp-admin/admin-ajax/php’ adresine bir POST isteği gönderir.
Bu dosya da, ziyaretçileri kimlik avı ve kötü amaçlı yazılım bırakma siteleri gibi kötü niyetli hedeflere yönlendirmek için hedef sitelerde bulunan meşru Javascript dosyalarına kod enjekte eden NDSW truva atını getirir.
Saldırganların ZIP yükleri için kullandığı bazı dosya adları ‘inject.zip’, ‘king_zip.zip’, ‘null.zip’, ‘plugin.zip’ ve ‘***_young.zip’tir.
Bu dosyaların varlığı veya “; JavaScript dosyalarınızdaki if(ndsw==” dizesi size virüs bulaştığını gösterir.
Hala Kaswara Modern WPBakery Sayfa Oluşturucu Eklentileri eklentisini kullanıyorsanız, WordPress sitenizden hemen kaldırmalısınız.
Eklentiyi kullanmıyorsanız, yine de saldırganların IP adreslerini engellemeniz önerilir. Göstergeler ve en üretken istek kaynakları hakkında daha fazla ayrıntı için Wordfence’in bloguna bakın.