🔥 Sở Lao động - Thương binh và Xã hội tỉnh Quảng Nam đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Hà Tĩnh đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Tin tặc rà quét 1,6 triệu trang web để khai thác lỗ hổng chưa được vá trong một WordPress plugin

19/07/2022

Các nhà nghiên cứu bảo mật đã phát hiện một chiến dịch độc hại lớn đã rà quét gần 1,6 triệu trang web WordPress để tìm các trang web sử dụng plugin chứa lỗ hổng cho phép tải tệp lên mà không cần xác thực.

Kẻ tấn công đang nhắm vào các trang web sử dụng plugin Kaswara Modern WPBakery Page Builder để khai thác một lỗ hổng nghiêm trọng có định danh CVE-2021-24284.

Lỗ hổng này cho phép kẻ tấn công không cần xác thực chèn mã Javascript độc hại vào các trang web đang sử dụng bất kỳ phiên bản nào của plugin và thực hiện các hành động như tải lên và xóa tệp, điều này có thể dẫn đến việc kiểm soát hoàn toàn trang web.

Mặc dù quy mô của chiến dịch rất lớn, với 1.599.852 trang web khác nhau bị nhắm mục tiêu, nhưng chỉ một phần nhỏ trong số đó sử dụng plugin dễ bị tấn công.

Các nhà nghiên cứu tại Defiant phát hiện trung bình có gần nửa triệu lượt tấn công mỗi ngày nhằm vào các trang web của khách hàng mà họ đang bảo vệ.

Dựa trên dữ liệu thu được của Wordfence, các cuộc tấn công bắt đầu vào ngày 4 tháng 7 và vẫn đang diễn ra cho đến nay với trung bình 443.868 lần mỗi ngày.

Các cuộc tấn công bắt nguồn từ 10.215 địa chỉ IP khác nhau. Trong đó, kẻ tấn công đã gửi một POST request tới ‘wp-admin/admin-ajax/php’, sử dụng chức năng ‘uploadFontIcon’ AJAX của plugin để tải lên tệp ZIP độc hại có chứa tệp PHP.

Tệp này được thực thi sẽ tải về trojan NDSW được sử dụng để chèn mã độc vào các tệp Javascript hợp pháp trên các trang web mục tiêu để chuyển hướng truy cập của người dùng đến các trang độc hại như các website lừa đảo hay các trang chứa phần mềm độc hại.

Một số tên mà kẻ tấn công sử dụng cho các tệp nén ZIP là ‘injection.zip’, ‘king_zip.zip’, ‘null.zip’, ‘plugin.zip’ và ‘***_ young.zip’.

Nếu phát hiện các tệp này hoặc chuỗi “; if(ndsw==” trong bất kỳ tệp JavaScript nào của bạn thì bạn đã bị tấn công.

Nếu đang sử dụng plugin Kaswara Modern WPBakery Page Builder Addons, bạn nên xóa bỏ nó ngay lập tức khỏi trang web WordPress của mình. Nếu không sử dụng plugin, bạn vẫn nên chặn các địa chỉ IP đã biết của kẻ tấn công.

Bạn có thể xem thêm thông tin chi tiết trên blog của Wordfence.

Nguồn: bleepingcomputer.com.

scrolltop