تیم اطلاعاتی Wordfence Threat Intelligence افزایش ناگهانی حملات هدفگیری را زیر نظر دارد افزونه های صفحه ساز Kaswara Modern WPBakery. این کمپین در حال انجام تلاش می کند از یک آسیب پذیری آپلود فایل دلخواه استفاده کند که با نام CVE-2021-24284 ردیابی شده است. قبلا فاش شده است و در افزونه ای که اکنون بسته شده است وصله نشده است. از آنجایی که افزونه بدون وصله بسته شد، همه نسخههای افزونه تحت تأثیر این آسیبپذیری قرار دارند. از این آسیبپذیری میتوان برای آپلود فایلهای مخرب PHP در وبسایت آسیبدیده استفاده کرد که منجر به اجرای کد و کنترل کامل سایت میشود. هنگامی که مهاجمان جای پای خود را ایجاد کردند، می توانند جاوا اسکریپت مخرب را در میان سایر اقدامات مخرب به فایل های سایت تزریق کنند.
تمام مشتریان Wordfence از 21 مه 2021 توسط Wordfence Firewall از این کمپین حمله محافظت شده اند، زیرا مشتریان Wordfence Premium، Care و Response قانون فایروال را 30 روز زودتر در 21 آوریل 2021 دریافت کرده اند. حتی اگر Wordfence در برابر این محافظت ارائه می کند. ما اکیداً توصیه میکنیم که افزونههای صفحهساز Kaswara Modern WPBakery را در اسرع وقت حذف کرده و جایگزینی برای آن پیدا کنید، زیرا بعید است که این افزونه هیچوقت وصلهای برای این آسیبپذیری حیاتی دریافت کند. ما در حال حاضر از بیش از 1000 وب سایتی که هنوز این افزونه را نصب کرده اند محافظت می کنیم و تخمین می زنیم که در مجموع بین 4000 تا 8000 وب سایت هنوز این افزونه را نصب کرده اند.
ما به طور متوسط 443868 حمله در روز را علیه شبکه سایت هایی که در طول این کمپین محافظت می کنیم مسدود کرده ایم. لطفاً توجه داشته باشید که در حالی که 1،599،852 سایت منحصر به فرد مورد هدف قرار گرفتند، اکثر آن سایت ها از پلاگین آسیب پذیر استفاده نمی کردند.
پلاگین تحت تأثیر: افزونه های صفحه ساز Kaswara Modern WPBakery
Plugin Slug: کاسوارا
نسخه های تحت تأثیر: <= 3.0.1
شناسه CVE: CVE-2021-24284
امتیاز CVSS: 10.0 (بحرانی)
وکتور CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
نسخه کاملا پچ شده: پچ موجود نیست.
شاخص های حمله
اکثر حملاتی که دیده ایم، درخواست POST را به /wp-admin/admin-ajax.php با استفاده از uploadFontIcon عملکرد AJAX در افزونه برای آپلود یک فایل در وب سایت آسیب دیده یافت شد. گزارش های شما ممکن است رشته پرس و جو زیر را در این رویدادها نشان دهد:
/wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1
ما 10215 آدرس IP مهاجم را مشاهده کردهایم که اکثریت قریب به اتفاق تلاشهای سوء استفاده از این ده IP برتر بوده است:
- 217.160.48.108 با 1,591,765 سوء استفاده مسدود شده است
- 5.9.9.29 با 898248 سوء استفاده مسدود شده است
- 2.58.149.35 با 390815 سوء استفاده مسدود شده است
- 20.94.76.10 با 276006 سوء استفاده مسدود شده است
- 20.206.76.37 با 212766 سوء استفاده مسدود شده است
- 20.219.35.125 با 187470 سوء استفاده مسدود شده است
- 20.223.152.221 با 102658 سوء استفاده مسدود شده است
- 5.39.15.163 با 62376 سوء استفاده مسدود شده است
- 194.87.84.195 با 32890 سوء استفاده مسدود شده است
- 194.87.84.193 با 31329 سوء استفاده مسدود شده است
شاخص های سازش
بر اساس تجزیه و تحلیل ما از داده های حمله، اکثر مهاجمان در تلاش برای آپلود یک فایل فشرده با نام هستند a57bze8931.zip. هنگامی که مهاجمان در آپلود فایل فشرده موفق باشند، یک فایل منفرد به نام a57bze8931.php در دایرکتوری /wp-content/uploads/kaswara/icons/ استخراج خواهد شد. فایل مخرب دارای هش MD5 است d03c3095e33c7fe75acb8cddca230650. این فایل یک آپلود کننده است که تحت کنترل مهاجم است. با استفاده از این فایل، یک بازیگر مخرب میتواند به آپلود فایلها در وبسایت آسیبدیده ادامه دهد.
شاخص های مشاهده شده در این حملات همچنین شامل نشانه هایی از تروجان NDSW است که کد را به فایل های جاوا اسکریپت قانونی تزریق می کند و بازدیدکنندگان سایت را به وب سایت های مخرب هدایت می کند. وجود این رشته در فایلهای جاوا اسکریپت شما نشانه قوی این است که سایت شما به NDSW آلوده شده است:
;if(ndsw==
برخی از نام فایل های اضافی که مهاجمان سعی در آپلود آنها دارند عبارتند از:
- [xxx]_young.zip کجاست [xxx] متفاوت است و معمولاً از 3 کاراکتر مانند ‘svv_young’ تشکیل شده است
- inject.zip
- king_zip.zip
- null.zip
- plugin.zip
در صورت استفاده از این افزونه چه کاری باید انجام دهم؟
همه کاربران Wordfence، از جمله رایگان، حق بیمه، مراقبت، و واکنش، از سوء استفاده هایی که این آسیب پذیری را هدف قرار می دهند محافظت می شوند. با این حال، در حال حاضر افزونه بسته شده است و توسعه دهنده در مورد یک پچ پاسخگو نیست. بهترین گزینه حذف کامل افزونه Kaswara Modern WPBakery Page Builder Addons از وب سایت وردپرسی خود است.
اگر دوست یا همکار خود را می شناسید که از این افزونه در سایت خود استفاده می کند، ما به شدت توصیه می کنیم این توصیه را برای آنها ارسال کنید تا به محافظت از سایت هایشان کمک کنید، زیرا این یک آسیب پذیری جدی است که می تواند منجر به تسخیر کامل سایت شود.
اگر فکر میکنید سایت شما در نتیجه این آسیبپذیری یا هر آسیبپذیری دیگری در معرض خطر قرار گرفته است، ما خدمات واکنش به حادثه را از طریق مراقبت از Wordfence. اگر به پاکسازی سریع سایت خود نیاز دارید، پاسخ Wordfence همین سرویس را با در دسترس بودن 24/7/365 و زمان پاسخگویی 1 ساعته ارائه می دهد. هر دوی این محصولات دارای پشتیبانی عملی در صورت نیاز به کمک بیشتری هستند.
