Wordfence zgłosił że zaobserwowano poważnie krytyczny wzrost liczby prób ataków wykorzystujących lukę WPBakery.
Ta konkretna luka jest znana jako luka umożliwiająca „arbitralne przesyłanie plików” i oznaczona jako CVE-2021-24284, która została wcześniej ujawnione w dniu 21 kwietnia 2021 r.
Chociaż wtyczka została zamknięta, nie została załatana.
Możliwość przesyłania złośliwych plików PHP
Charakter tej luki umożliwia złośliwym atakującym przesłanie złośliwych plików PHP do witryny internetowej, której dotyczy luka, co może doprowadzić do przejęcia całej witryny.
Po zdobyciu przyczółka do plików w witrynie może zostać wstrzyknięty złośliwy kod JavaScript, obejmujący pewne inne szkodliwe działania, które mogą podjąć osoby atakujące.
Wordfence informuje, że wszyscy klienci są chronieni przed tą kampanią od 21 maja 2021 r. dzięki wdrożeniu przez Wordfence Premium zupełnie nowej reguły zapory ogniowej, która pomaga złagodzić te ataki.
WordFence zdecydowanie zaleca, aby jak najszybciej całkowicie usunąć dodatki Kaswara Modern WPBakery Page Builder i zastosować rozwiązanie alternatywne.
Wyjaśniają, że jest bardzo mało prawdopodobne, że ten dodatek kiedykolwiek otrzyma łatkę.
Zgłaszają, że blokowali średnio 443 868 prób ataków dziennie, które próbowały zaatakować sieć witryn, które chronili podczas kampanii.
Mimo że celem było 1 599 852 unikalnych witryn internetowych, należy zauważyć, że większość z nich nie korzystała z wtyczki odpowiedzialnej za tę lukę.
Źródło: https://www.wordfence.com/blog/2022/07/attacks-on-modern-wpbakery-page-builder-addons-vulnerability/
Statystyki luki WPBakery
Poniżej znajdują się statystyki luki WPBakery, na które składa się wynik CVSS wynoszący 10,0 (co jest najwyższym wynikiem, jaki może uzyskać luka).
To sprawia, że usunięcie tej luki ma niezwykle wysoki priorytet, jeśli używasz tej wtyczki.
- „Opis: dowolne przesyłanie/usuwanie plików i inne
- Dotknięta wtyczka: Dodatki do narzędzia do tworzenia stron Kaswara Modern WPBakery
- Plugin Slug: kaswara
- Wersje, których to dotyczy: <= 3.0.1
- Identyfikator CVE:CVE-2021-24284
- Wynik CVSS: 10,0 (krytyczny)
- CVSS Wektor:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Wersja z pełną poprawką: BRAK DOSTĘPNEJ POPRAWKI.”
Jakie są najczęstsze oznaki ataku?
Firma Wordfence poinformowała również, że większość obserwowanych ataków wysyła tak zwane żądanie POST do następującego pliku: /wp-admin/admin-ajax.php.
Atakujący robią to za pomocą akcji uploadFontIcon AJAX, która jest częścią tej wtyczki.
Następnie napastnicy wykorzystują lukę w celu przesłania pliku do witryny internetowej, której dotyczy luka.
Możliwe, że w dziennikach pojawi się ciąg zapytania dotyczący następującego zdarzenia:
/wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1
Jak wynika z raportu Wordfence, za większość ataków odpowiedzialne są następujące adresy IP:
- „217.160.48.108 z 1 591 765 zablokowanymi próbami exploitów
- 5.9.9.29 z zablokowanymi 898 248 próbami exploitów
- 2.58.149.35 z zablokowanymi 390 815 próbami exploitów
- 20.94.76.10 z zablokowanymi 276 006 próbami exploitów
- 20.206.76.37 z zablokowanymi 212 766 próbami exploitów
- 20.219.35.125 z zablokowanymi 187 470 próbami exploitów
- 20.223.152.221 z zablokowanymi 102 658 próbami exploitów
- 5.39.15.163 z zablokowanymi 62 376 próbami exploitów
- 194.87.84.195 z zablokowanymi 32 890 próbami exploitów
- 194.87.84.193 z zablokowanymi 31 329 próbami exploitów”
Jakie są typowe wskaźniki wskazujące, że witryna została naruszona?
Obecnie istnieją ograniczone wskazówki, na podstawie których webmasterzy mogą określić, czy ich witryna została naruszona w wyniku tego ataku.
Jednakże Wordfence zaleca, w oparciu o funkcjonalność luki, sprawdzenie katalogu /wp-content/uploads/kaswara/ wraz ze wszystkimi podkatalogami pod kątem plików PHP powiązanych z tym katalogiem.
Znaleziono jednak następujące typowe pliki w witrynach dotkniętych tym atakiem hakerów:
- /wp-content/uploads/kaswara/icons/kntl/img.php
- /wp-content/uploads/kaswara/fonts_icon/15/icons.php
- /wp-content/uploads/kaswara/icons/brt/t.php
- /wp-content/uploads/kaswara/fonts_icon/jg4/coder.php
Ostatecznie jest to aktywnie wykorzystywana luka dnia zerowego
Głównym problemem wpływającym na tę konkretną wtyczkę jest fakt, że wtyczka ta ma wiele wad, które zawierają istotne luki, które atakujący nieuwierzytelnieni przez serwer mogą wykorzystać do wykonywania złośliwych działań.
Osoby atakujące mogą przesyłać złośliwe pliki, które można wykorzystać do całkowitego przejęcia witryny internetowej na własność.
Ponieważ wtyczka nie została poprawiona, zaleca się natychmiastową dezaktywację i usunięcie wtyczki.
Po wykonaniu tej czynności będziesz musiał znaleźć alternatywę, na którą nie miały wpływu żadne złośliwe ataki.