[网络研究所]
安全研究人员检测到一个大规模的活动,用160元扫描了近万个WordPress网站,发现有一个漏洞插件,允许不经认证上传文件。
攻击者的目标是
WaramodernwpbakeryPageBuilder,这个页面生成器已经被它的作者抛弃了,然后它作为CVE Kramp-karren Bauer 2021 Kramp-karren Bauer 24284的严重缺陷收到了补丁跟踪。
该漏洞将允许未经身份验证的攻击者使用任何版本的插件向网站注入恶意Javascript,并执行上传和删除文件等操作,这可能导致网站的完全接管。
虽然这场运动的规模令人印象深刻,1元人民币的599,852个独立网站成为目标,但其中只有少数网站运行着易受攻击的插件。
WordPressWordfence安全解决方案制造商Defiant的研究人员观察到,他们保护的客户端网站平均每天有近万次50元的攻击尝试。
模糊大规模攻击
根据Wordfence的遥测数据,攻击始于4վ֮ս7元,并持续至今。并且至今仍在进行中,平均每天有443868次尝试。
捕获和阻止日常攻击。
研究人员表示,这些攻击来自10元人民币中的215个不同的IP地址,其中一些攻击产生了数百万次请求,而另一些攻击仅限于少量请求。
我们见过的大部分攻击都是通过使用插件中的uploadFontIcon AJAX操作向/WPK ramp-karren Bauer admin/admink ramp-karren Bauer ajax.php发送POST请求,将文件上传到受影响的网站。您的日志可能会显示这些事件的以下查询字符串:
/WP-admin/admin-Ajax . PHP action = uploadFontIcon HTTP/1.1
我们观察到10元,215个攻击IP地址,大部分攻击企图来自以下前十个IP地址:
而217.160.48.108和1元,有591765次利用尝试被阻止。
5.9.9.29阻止了898,248次利用尝试。
在2.58.149.35,390元,815次利用企图被阻止。
在20.94.76.10有276,006次尝试利用。
20.206.76.37有212,766次利用尝试被阻止。
20.219.35.125和187470元的第二次尝试使用被阻止。
20.223.152.221有102,658次利用尝试被阻止。
对于5.39.15.163,376次利用尝试被阻止。
而194.87.84.195,32元,890元被阻止二次利用。
而194.87.84.193和31元,329次利用企图被阻止。
发起攻击的IP地址。
根据我们对攻击数据的分析,大多数攻击者试图上传一个名为a57bze8931.zip的zip文件,当攻击者成功上传zip文件时,一个名为a57bze8931.zip的文件会被解压到/WPK ramp-karren Bauer content/uploads/kas wara/icons/目录中。恶意文件的MD5哈希值为泷泽萝拉03C 3095,金东赫33元C7F,金东赫75元ACB 8元CDDCA230650。这个文件是攻击者控制下的上传者。有了这个文件,恶意行为者可以继续将文件上传到受感染的网站。
在这些攻击中观察到的迹象还包括NDSW特洛伊木马的迹象,它将代码注入其他合法的Javascript文件,并将网站访问者重定向到恶意网站。在您的Javascript文件中存在该字符串强烈表明您的站点感染了NDSW病毒:
攻击者用于ZIP负载的一些文件名是:
"注入. zip "
" king_zip.zip "
" null.zip "
" plugin.zip "
“***_young.zip”
这些文件要么存在”;如果任何Javascript文件中的if(ndsw== "字符串表明您已被感染。
如果不使用插件,还是建议你屏蔽攻击者的IP地址。
为了避免针对这个漏洞的攻击,最好的选择是从你的WordPress网站上完全删除kas wara Modern WP Bakery Page Builder插件。
此时插件已经关闭,开发者尚未对补丁做出回应。
如果您认识的朋友或同事在他们的网站上使用此插件,我们强烈建议您将此建议转发给他们,以帮助保护他们的网站,因为这是一个严重的漏洞,可能会导致网站被完全接管。
网络研究所【2022 Kramp-Karrenbauer,7元,Kramp-Karrenbauer,15元】美国购物巨头泄露用户敏感数据
