Хакеры просканировали 1,6 млн сайтов на WordPress в поисках уязвимого плагина
Исследователи из компании Defiant обнаружили масштабную кампанию, в ходе которой злоумышленники просканировано около 1,6 млн сайтов на базе WordPress.
Хакеры искали уязвимый плагин Kaswara Modern WPBakery Page Builder, который позволяет загружать файлы без аутентификации.
Дело в том, что плагин Kaswara Modern WPBakery Page Builder был заброшен автором некоторое время назад, и уже после этого в нем нашли критическую уязвимость CVE-2021-24284.
Баг позволяет неаутентифицированным злоумышленникам внедрять на сайты вредоносный код Javascript, так как из-за бага любая версия плагина позволяет загружать и удалять файлы, что в итоге может вести к захвату ресурса.
Сканирования происходят следующим образом: атакующие отправляют POST-запрос на wp-admin/admin-ajax/php, пытаясь использовать AJAX-функцию плагина uploadFontIcon
для загрузки вредоносной полезной нагрузки (файл ZIP, содержащий файл PHP).