افزونه هاامنیت

PSA: افزایش ناگهانی حملات به آسیب‌پذیری افزونه‌های صفحه‌ساز WPBakery مدرن


تیم اطلاعاتی Wordfence Threat Intelligence افزایش ناگهانی حملات هدف‌گیری را زیر نظر دارد افزونه های صفحه ساز Kaswara Modern WPBakery. این کمپین در حال انجام تلاش می کند از یک آسیب پذیری آپلود فایل دلخواه استفاده کند که با نام CVE-2021-24284 ردیابی شده است. قبلا فاش شده است و در افزونه ای که اکنون بسته شده است وصله نشده است. از آنجایی که افزونه بدون وصله بسته شد، همه نسخه‌های افزونه تحت تأثیر این آسیب‌پذیری قرار دارند. از این آسیب‌پذیری می‌توان برای آپلود فایل‌های مخرب PHP در وب‌سایت آسیب‌دیده استفاده کرد که منجر به اجرای کد و کنترل کامل سایت می‌شود. هنگامی که مهاجمان جای پای خود را ایجاد کردند، می توانند جاوا اسکریپت مخرب را در میان سایر اقدامات مخرب به فایل های سایت تزریق کنند.

تمام مشتریان Wordfence از 21 مه 2021 توسط Wordfence Firewall از این کمپین حمله محافظت شده اند، زیرا مشتریان Wordfence Premium، Care و Response قانون فایروال را 30 روز زودتر در 21 آوریل 2021 دریافت کرده اند. حتی اگر Wordfence در برابر این محافظت ارائه می کند. ما اکیداً توصیه می‌کنیم که افزونه‌های صفحه‌ساز Kaswara Modern WPBakery را در اسرع وقت حذف کرده و جایگزینی برای آن پیدا کنید، زیرا بعید است که این افزونه هیچ‌وقت وصله‌ای برای این آسیب‌پذیری حیاتی دریافت کند. ما در حال حاضر از بیش از 1000 وب سایتی که هنوز این افزونه را نصب کرده اند محافظت می کنیم و تخمین می زنیم که در مجموع بین 4000 تا 8000 وب سایت هنوز این افزونه را نصب کرده اند.

ما به طور متوسط ​​443868 حمله در روز را علیه شبکه سایت هایی که در طول این کمپین محافظت می کنیم مسدود کرده ایم. لطفاً توجه داشته باشید که در حالی که 1،599،852 سایت منحصر به فرد مورد هدف قرار گرفتند، اکثر آن سایت ها از پلاگین آسیب پذیر استفاده نمی کردند.

حجم کل حملات


شرح: آپلود/حذف فایل دلخواه و موارد دیگر
پلاگین تحت تأثیر: افزونه های صفحه ساز Kaswara Modern WPBakery
Plugin Slug: کاسوارا
نسخه های تحت تأثیر: <= 3.0.1
شناسه CVE: CVE-2021-24284
امتیاز CVSS: 10.0 (بحرانی)
وکتور CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
نسخه کاملا پچ شده: پچ موجود نیست.

شاخص های حمله

اکثر حملاتی که دیده ایم، درخواست POST را به /wp-admin/admin-ajax.php با استفاده از uploadFontIcon عملکرد AJAX در افزونه برای آپلود یک فایل در وب سایت آسیب دیده یافت شد. گزارش های شما ممکن است رشته پرس و جو زیر را در این رویدادها نشان دهد:

/wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1

ما 10215 آدرس IP مهاجم را مشاهده کرده‌ایم که اکثریت قریب به اتفاق تلاش‌های سوء استفاده از این ده IP برتر بوده است:

  • 217.160.48.108 با 1,591,765 سوء استفاده مسدود شده است
  • 5.9.9.29 با 898248 سوء استفاده مسدود شده است
  • 2.58.149.35 با 390815 سوء استفاده مسدود شده است
  • 20.94.76.10 با 276006 سوء استفاده مسدود شده است
  • 20.206.76.37 با 212766 سوء استفاده مسدود شده است
  • 20.219.35.125 با 187470 سوء استفاده مسدود شده است
  • 20.223.152.221 با 102658 سوء استفاده مسدود شده است
  • 5.39.15.163 با 62376 سوء استفاده مسدود شده است
  • 194.87.84.195 با 32890 سوء استفاده مسدود شده است
  • 194.87.84.193 با 31329 سوء استفاده مسدود شده است

کل تلاش های بهره برداری

شاخص های سازش

بر اساس تجزیه و تحلیل ما از داده های حمله، اکثر مهاجمان در تلاش برای آپلود یک فایل فشرده با نام هستند a57bze8931.zip. هنگامی که مهاجمان در آپلود فایل فشرده موفق باشند، یک فایل منفرد به نام a57bze8931.php در دایرکتوری /wp-content/uploads/kaswara/icons/ استخراج خواهد شد. فایل مخرب دارای هش MD5 است d03c3095e33c7fe75acb8cddca230650. این فایل یک آپلود کننده است که تحت کنترل مهاجم است. با استفاده از این فایل، یک بازیگر مخرب می‌تواند به آپلود فایل‌ها در وب‌سایت آسیب‌دیده ادامه دهد.

شاخص های مشاهده شده در این حملات همچنین شامل نشانه هایی از تروجان NDSW است که کد را به فایل های جاوا اسکریپت قانونی تزریق می کند و بازدیدکنندگان سایت را به وب سایت های مخرب هدایت می کند. وجود این رشته در فایل‌های جاوا اسکریپت شما نشانه قوی این است که سایت شما به NDSW آلوده شده است:

;if(ndsw==

برخی از نام فایل های اضافی که مهاجمان سعی در آپلود آنها دارند عبارتند از:

  • [xxx]_young.zip کجاست [xxx] متفاوت است و معمولاً از 3 کاراکتر مانند ‘svv_young’ تشکیل شده است
  • inject.zip
  • king_zip.zip
  • null.zip
  • plugin.zip

در صورت استفاده از این افزونه چه کاری باید انجام دهم؟

همه کاربران Wordfence، از جمله رایگان، حق بیمه، مراقبت، و واکنش، از سوء استفاده هایی که این آسیب پذیری را هدف قرار می دهند محافظت می شوند. با این حال، در حال حاضر افزونه بسته شده است و توسعه دهنده در مورد یک پچ پاسخگو نیست. بهترین گزینه حذف کامل افزونه Kaswara Modern WPBakery Page Builder Addons از وب سایت وردپرسی خود است.

اگر دوست یا همکار خود را می شناسید که از این افزونه در سایت خود استفاده می کند، ما به شدت توصیه می کنیم این توصیه را برای آنها ارسال کنید تا به محافظت از سایت هایشان کمک کنید، زیرا این یک آسیب پذیری جدی است که می تواند منجر به تسخیر کامل سایت شود.

اگر فکر می‌کنید سایت شما در نتیجه این آسیب‌پذیری یا هر آسیب‌پذیری دیگری در معرض خطر قرار گرفته است، ما خدمات واکنش به حادثه را از طریق مراقبت از Wordfence. اگر به پاکسازی سریع سایت خود نیاز دارید، پاسخ Wordfence همین سرویس را با در دسترس بودن 24/7/365 و زمان پاسخگویی 1 ساعته ارائه می دهد. هر دوی این محصولات دارای پشتیبانی عملی در صورت نیاز به کمک بیشتری هستند.



منبع

لطفا به این محتوا امتیاز دهید

 
 

 

 

0 / 5

رتبه صفحه شما:

مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
Translate »