Milhares de sites executam plugin do WordPress com bugs que permite a aquisição completa, saiba mais…

Os criminosos teriam escaneado quase 1,6 milhão de sites na tentativa de explorar uma vulnerabilidade arbitrária de upload de arquivos em um plugin WordPress com bugs divulgado anteriormente.

Rastreado como CVE-2021-24284, o vuln tem como alvo os complementos do Kaswara Modern WPBakery Page Builder e, se explorado, permitiria que criminosos fizessem upload de arquivos JavaScript maliciosos e até mesmo dominassem completamente o site de uma organização.

O Wordfence divulgou a falha há quase três meses e, em um novo comunicado nesta semana, alertou que os criminosos estão aumentando os ataques – a loja de segurança do WordPress afirma que bloqueou uma média de 443.868 tentativas de ataque por dia nos sites de seus clientes.

Os desenvolvedores de software nunca corrigiram o bug e o plug-in agora está fechado, o que significa que todas as versões são suscetíveis a um ataque. Os caçadores de bugs estimaram que entre 4.000 e 8.000 sites ainda têm o plug-in vulnerável instalado e observaram que, embora 1.599.852 sites únicos tenham sido direcionados, a maioria deles não estava executando o plug-in.

No entanto, se você cair no campo do plug-in de buggy ainda em execução, agora é um bom momento para puxar o plugue.

Além disso, mesmo que você não seja afetado diretamente, qualquer um desses sites vulneráveis ​​pode ser comprometido e alterado para desempenhar um papel em outros ataques, como phishing ou malware de hospedagem. Então, de certa forma, isso demonstra como até mesmo plugins menores podem alimentar crimes cibernéticos mais amplos na internet.

“Recomendamos fortemente remover completamente os complementos do Kaswara Modern e WPBakery Page Builder o mais rápido possível e encontrar uma alternativa, pois é improvável que o plug-in receba um patch para essa vulnerabilidade crítica”, alertou o Wordfence.

O fornecedor de segurança disse que a maioria dos ataques começa com uma solicitação POST enviada para /wp-admin/admin-ajax.php usando a ação uploadFontIcon AJAX do plugin, que permite que criminosos enviem um arquivo malicioso para o site da vítima. Wordfence explicou:

Seus registros podem mostrar a seguinte string de consulta nesses eventos:

/wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1

A equipe de inteligência de ameaças também observou que a maioria das tentativas de exploração vem desses 10 IPs:

  • 217.160.48.108 com 1.591.765 tentativas de exploração bloqueadas
  • 5.9.9.29 com 898.248 tentativas de exploração bloqueadas
  • 2.58.149.35 com 390.815 tentativas de exploração bloqueadas
  • 20.94.76.10 com 276.006 tentativas de exploração bloqueadas
  • 20.206.76.37 com 212.766 tentativas de exploração bloqueadas
  • 20.219.35.125 com 187.470 tentativas de exploração bloqueadas
  • 20.223.152.221 com 102.658 tentativas de exploração bloqueadas
  • 5.39.15.163 com 62.376 tentativas de exploração bloqueadas
  • 194.87.84.195 com 32.890 tentativas de exploração bloqueadas
  • 194.87.84.193 com 31.329 tentativas de exploração bloqueadas

A maioria dos ataques também inclui uma tentativa de fazer upload de um arquivo zip chamado a57bze8931.zip, que, uma vez instalado, permite que o criminoso mantenha o upload de software malicioso para o site da vítima.

Além disso, alguns dos ataques também incluem sinais do trojan NDSW, de acordo com o Wordfence. Isso redireciona os visitantes do site para sites maliciosos, o que, novamente, é um bom lembrete de que agora é a hora de remover o patch agora.

Fonte: The Register por

Ajuda?