esenfrdeitptru

Aumento repentino de ataques por la vulnerabilidad en complementos de WPBakery Page Builder para WordPress

AS-064-2022

Fecha: 19/Jul/2022

Resumen:

El equipo de seguridad de Wordfence Thereat Intelligence ha monitoreado el aumento repentino de intentos de ataques dirigidos al plugin para WordPress, el cual permite la carga y la eliminación arbitraria de archivos, el complemento afectado es: Kaswara Modern WPBakery Page Builder Addons, Plugin Slug: kaswara Versiones afectadas: <= 3.0.1 ID de CVE: CVE-2021-24284 Puntuación de CVSS: 10.0 (crítico)  Versión totalmente parcheada: NO HAY PARCHE DISPONIBLE a la fecha.

Indicadores de ataque.

La mayoría de los ataques que hemos visto envían una solicitud POST a /wp-admin/admin-ajax.php usando la acción uploadFontIcon AJAX que se encuentra en el complemento para cargar un archivo en el sitio web afectado. Sus registros pueden mostrar la siguiente cadena de consulta sobre estos eventos:

/wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1

Hemos observado 10 215 direcciones IP atacantes, y la gran mayoría de los intentos de explotación provienen de estas diez direcciones IP principales:

  • 217.160.48.108 con 1,591,765 intentos de explotación bloqueados.
  • 5.9.9.29 con 898.248 intentos de explotación bloqueados.
  • 2.58.149.35 con 390.815 intentos de explotación bloqueados.
  • 20.94.76.10 con 276 006 intentos de explotación bloqueados.
  • 20.206.76.37 con 212.766 intentos de explotación bloqueados.
  • 20.219.35.125 con 187 470 intentos de explotación bloqueados.
  • 20.223.152.221 con 102.658 intentos de explotación bloqueados.
  • 5.39.15.163 con 62 376 intentos de explotación bloqueados.
  • 194.87.84.195 con 32.890 intentos de explotación bloqueados.
  • 194.87.84.193 con 31.329 intentos de explotación bloqueados.

Indicadores de compromiso.

La mayoría de los atacantes intentan cargar un archivo zip llamado a57bze8931.zip . Cuando los atacantes logran cargar el archivo zip, se extrae un solo archivo llamado a57bze8931.php en el directorio /wp-content/uploads/kaswara/icons/. El archivo malicioso tiene un hash MD5 de d03c3095e33c7fe75acb8cddca230650 . Este archivo es un cargador bajo el control del atacante. Con este archivo, un actor malicioso tiene la capacidad de continuar cargando archivos en el sitio web comprometido.

Los indicadores observados en estos ataques también incluyen signos del troyano NDSW, que inyecta código en archivos JavaScript legítimos y redirige a los visitantes del sitio a sitios web maliciosos. La presencia de esta cadena en sus archivos JavaScript es una fuerte indicación de que su sitio ha sido infectado con NDSW:

;si(ndsw==

Algunos nombres de archivo adicionales que los atacantes intentan cargar incluyen:

[xxx]_young.zip donde [xxx] varía y generalmente consta de 3 caracteres como 'svv_young',inyectar.zip, rey_zip.zip, nulo.zip, plugin.zip.

Recomendación.

La mejor opción es eliminar por completo el complemento Kaswara Modern WPBakery Page Builder Addons de su sitio web de WordPress.

Referencias:

https://www.wordfence.com/blog/2022/07/attacks-on-modern-wpbakery-page-builder-addons-vulnerability/
https://www.bleepingcomputer.com/news/security/attackers-scan-16-million-wordpress-sites-for-vulnerable-plugin/
https://securityaffairs.co/wordpress/133267/hacking/wpbakery-page-builder-attacks.html
https://www.theregister.com/2022/07/15/buggy_wordpress_plugin/

 

Tlp Clear 2023