Veľmi kritická zraniteľnosť WPBakery: mohla by ovplyvniť viac ako 500 000 webových stránok

Wordfence oznámil že bol pozorovaný vážne kritický nárast pokusov o útoky na zraniteľnosť WPBakery.

Táto konkrétna chyba zabezpečenia je známa ako „svojvoľné nahrávanie súborov“, sledovaná ako CVE-2021-24284, ktorá bola predtým zverejnené dňa 21. apríla 2021.

Kým bol doplnok zatvorený, nebol opravený.

Možnosť nahrávania škodlivých súborov PHP

Povaha tejto zraniteľnosti umožňuje útočníkom so zlými úmyslami nahrať škodlivé súbory PHP na webovú lokalitu, ktorá bola ovplyvnená, čo môže viesť k prevzatiu celej lokality.

Po vytvorení oporného bodu môže byť škodlivý JavaScript vložený do súborov na stránke, vrátane určitých iných škodlivých aktivít, ktorých sa môžu dopustiť útočníci.

Wordfence uvádza, že všetci zákazníci sú od 21. mája 2021 chránení pred touto kampaňou pomocou aplikácie Wordfence Premium implementujúcej úplne nové pravidlo brány firewall, ktoré pomáha zmierniť tieto útoky.

WordFence dôrazne odporúča, aby ste čo najskôr úplne odstránili doplnky Kaswara Modern WPBakery Page Builder a pracovali s alternatívou.

Vysvetľujú, že je veľmi nepravdepodobné, že tento doplnok niekedy dostane opravu.

Uvádzajú, že zablokovali v priemere 443 868 pokusov o útok denne, ktoré sa pokúšali zaútočiť na sieť stránok, ktoré chránili počas kampane.

Čítať:  Ako rýchlo odosielať súbory do vášho Android TV cez Wi-Fi

Aj keď bolo zacielených 1 599 852 jedinečných webových stránok, je dôležité poznamenať, že väčšina týchto stránok nepoužívala doplnok, ktorý je zodpovedný za túto chybu zabezpečenia.

Zdroj: https://www.wordfence.com/blog/2022/07/attacks-on-modern-wpbakery-page-builder-addons-vulnerability/

Štatistika zraniteľnosti WPBakery

Nasleduje štatistika zraniteľnosti WPBakery, ktorá pozostáva zo skóre CVSS 10,0 (čo je najvyššie skóre, aké môže zraniteľnosť získať).

To robí z tejto chyby zabezpečenia mimoriadne vysokú prioritu na vyriešenie, ak používate tento doplnok.

  • “Popis: Ľubovoľné nahrávanie/odstraňovanie súborov a iné
  • Ovplyvnený doplnok: Kaswara Moderné doplnky WPBakery Page Builder
  • Plugin Slug: kaswara
  • Ovplyvnené verzie: <= 3.0.1
  • ID CVE:CVE-2021-24284
  • Skóre CVSS: 10,0 (kritické)
  • CVSS Vector:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Plne opravená verzia: ŽIADNA DOSTUPNÁ OPRAVA.”

Aké sú bežné príznaky útoku?

Wordfence tiež oznámil, že väčšina útokov, ktoré pozorujú, posiela takzvanú požiadavku POST do nasledujúceho súboru: /wp-admin/admin-ajax.php.

Útočníci to robia pomocou akcie uploadFontIcon AJAX, ktorá je súčasťou tohto doplnku.

Potom títo útočníci použijú túto zraniteľnosť na nahranie súboru na ovplyvnenú webovú stránku.

Je možné, že vaše denníky môžu zobraziť reťazec dopytu pri nasledujúcej udalosti:

/wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1

Na základe správy Wordfence sú za väčšinu útokov zjavne zodpovedné nasledujúce adresy IP:

  • „217.160.48.108 s zablokovanými 1 591 765 pokusmi o zneužitie
  • 5.9.9.29 s zablokovanými 898 248 pokusmi o zneužitie
  • 2.58.149.35 s zablokovanými 390 815 pokusmi o zneužitie
  • 20.94.76.10 s zablokovanými 276 006 pokusmi o zneužitie
  • 20.206.76.37 s zablokovanými 212 766 pokusmi o zneužitie
  • 20.219.35.125 so zablokovanými 187 470 pokusmi o zneužitie
  • 20.223.152.221 so zablokovanými 102 658 pokusmi o zneužitie
  • 5.39.15.163 so zablokovanými 62 376 pokusmi o zneužitie
  • 194.87.84.195 s zablokovanými 32 890 pokusmi o zneužitie
  • 194.87.84.193 s zablokovanými 31 329 pokusmi o zneužitie“
Čítať:  Sprievodca vkladaním pre WPBakery Page Builder (Wordpress)

Aké sú bežné indikátory, že stránka bola ohrozená?

V súčasnosti existujú len obmedzené náznaky, ktoré môžu správcovia webu použiť na zistenie, či ich stránky neboli napadnuté týmto útokom.

Wordfence však na základe funkčnosti zraniteľnosti odporúča skontrolovať adresár /wp-content/uploads/kaswara/ spolu so všetkými podadresármi pre súbory PHP spojené s týmto adresárom.

Na stránkach, ktoré boli napadnuté týmto hackerským útokom, však našli nasledujúce bežné súbory:

  • /wp-content/uploads/kaswara/icons/kntl/img.php
  • /wp-content/uploads/kaswara/fonts_icon/15/icons.php
  • /wp-content/uploads/kaswara/icons/brt/t.php
  • /wp-content/uploads/kaswara/fonts_icon/jg4/coder.php

V konečnom dôsledku ide o aktívne využívanú zraniteľnosť nultého dňa

Hlavným problémom, ktorý ovplyvňuje tento konkrétny doplnok, je skutočnosť, že tento doplnok má veľa nedostatkov, ktoré majú významné zraniteľnosti, ktoré môžu útočníci, ktorí nie sú overení serverom, využiť na vykonanie škodlivých činov.

Útočníci môžu nahrávať škodlivé súbory a tieto súbory môžu byť použité na úplné prevzatie vlastníctva webovej stránky.

Vzhľadom na to, že doplnok nie je opravený, odporúčame ho okamžite deaktivovať a odstrániť.

Potom budete musieť nájsť alternatívu, ktorá nebola ovplyvnená žiadnymi škodlivými útokmi.

Nové Publikácie:

ODPORÚČANIE