【网络研究院】攻击者扫描 160 万个 WordPress 网站以查找易受攻击的插件

安全研究人员检测到一场大规模的活动，该活动扫描了近160万个WordPress网站，发现存在一个允许在未经身份验证的情况下上传文件的易受攻击的插件。

攻击者的目标是KaswaraModernWPBakeryPageBuilder，该页面构建器已被其作者放弃，然后才收到跟踪为 CVE-2021-24284 的严重严重缺陷的补丁。

该漏洞将允许未经身份验证的攻击者使用任何版本的插件向网站注入恶意Javascript，并执行上传和删除文件等操作，这可能导致完全接管该网站。

虽然该活动的规模令人印象深刻，有1,599,852个独特的网站成为目标，但其中只有一小部分在运行易受攻击的插件。

WordPressWordfence安全解决方案的制造商Defiant的研究人员观察到，他们保护的客户网站平均每天有近50万次攻击尝试。

模糊的大规模攻击

根据Wordfence遥测数据，攻击从7月4日开始，一直持续到今天。并且今天仍在进行中，平均每天有443,868次尝试。

捕获和阻止的日常攻击

研究人员说，这些攻击来自10,215个不同的IP地址，其中一些已经产生了数百万个请求，而另一些则仅限于较少的数量。

我们看到的大多数攻击都是使用插件中的uploadFontIcon AJAX 操作向 /wp-admin/admin-ajax.php 发送 POST 请求，以将文件上传到受影响的网站。您的日志可能会针对这些事件显示以下查询字符串：

/wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1

我们观察到 10,215 个攻击 IP 地址，绝大多数攻击尝试来自以下前十个 IP：

• 217.160.48.108 和 1,591,765 次利用尝试被阻止

• 5.9.9.29 已阻止 898,248 次利用尝试

• 2.58.149.35，390,815 次利用尝试被阻止

• 20.94.76.10 有 276,006 次利用尝试被阻止

• 20.206.76.37 和 212,766 次利用尝试被阻止

• 20.219.35.125 和 187,470 次利用尝试被阻止

• 20.223.152.221 和 102,658 次利用尝试被阻止

• 5.39.15.163 与 62,376 次利用尝试被阻止

• 194.87.84.195 和 32,890 次利用尝试被阻止

• 194.87.84.193 和 31,329 次利用尝试被阻

发起攻击的 IP 地址

根据我们对攻击数据的分析，大多数攻击者都试图上传一个名为a57bze8931.zip的 zip 文件。当攻击者成功上传 zip 文件时，一个名为a57bze8931.php的文件将被提取到 /wp-content/uploads/kaswara/icons/ 目录中。恶意文件的 MD5 哈希值为d03c3095e33c7fe75acb8cddca230650。该文件是攻击者控制下的上传者。使用此文件，恶意行为者可以继续将文件上传到受感染的网站。

在这些攻击中观察到的指标还包括 NDSW 特洛伊木马的迹象，该木马将代码注入到其他合法的 JavaScript 文件中，并将网站访问者重定向到恶意网站。您的 JavaScript 文件中存在此字符串强烈表明您的站点已感染 NDSW：

攻击者用于ZIP有效负载的一些文件名是：

“inject.zip”、“king_zip.zip”、“null.zip”、“plugin.zip”和“***_young.zip”。

这些文件或存在“;如果您的任何JavaScript文件中的if(ndsw==”字符串表明您已被感染。

如果您不使用该插件，仍然建议您阻止攻击者的IP地址。

为了免受针对此漏洞的攻击，最好的选择是从您的 WordPress 网站中完全删除 Kaswara Modern WPBakery Page Builder Addons 插件。

此时该插件已关闭，开发人员尚未对补丁做出回应。

如果您认识的朋友或同事在他们的网站上使用此插件，我们强烈建议您将此建议转发给他们，以帮助保护他们的网站，因为这是一个严重的漏洞，可能导致网站完全被接管。

网络研究院【2022-7-15】美国购物巨头泄露敏感用户数据