Các nhà nghiên cứu bảo mật vừa phát hiện ra một chiến dịch tấn công quy mô lớn của tội phạm mạng. Trong chiến dịch này, hacker đã tiến hành rà quét gần 1,6 triệu trang web WordPress để tìm một plugin dễ bị tấn công, cho phép tải file lên mà không cần xác thực.
Hacker đang nhắm mục tiêu vào Kaswara Modern WPBakery Page Builder, một plugin đã bị tác giả bỏ rơi trước khi nhận được bản vá cho lỗ hổng nghiêm trọng đang được theo dõi với mã CVE-2021-24284.
Lỗ hổng này cho phép kẻ tấn công tiêm mã Javascript độc hại vào các trang web sử dụng bất kỳ phiên bản plugin Kaswara Modern WPBakery Page Builder nào mà không cần xác thực. Sau đó, chúng có thể thực hiện các hành vi như tải lên và xóa file từ đí dẫn tới việc chiếm hoàn toàn quyền điều khiển trang web.
Mặc dù quy mô của chiến dịch này rất lớn với 1.599.852 trang web đang bị nhắm mục tiêu nhưng chỉ một phần nhỏ trong số đó đang chạy plugin dễ bị tấn công.
Các nhà nghiên cứu tại Defiant, hãng cung cấp giải pháp bảo mật Wordfence cho WordPress, nhận thấy trung bình mỗi ngày có gần nửa triệu lần tấn công nhắm vào trang web của những khách hàng mà họ đang bảo vệ.
Dựa trên dữ liệu thu thập từ Wordfence, các nhà nghiên cứu xác định các cuộc tấn công bắt đầu từ ngày 04/7 và tiếp diễn cho tới tận bây giờ. Trung bình, mỗi ngày hacker thử tấn công 443.868 lần.
Các cuộc tấn công bắt nguồn từ 10.215 địa chỉ IP riêng biệt, một số địa chỉ IP tạo ra hàng triệu lượt tấn công trong khi số còn lại tạo ra ít lượt tấn công hơn.
Những kẻ tấn công gửi yêu cầu ĐĂNG (POST) tới "wp-admin/admin-ajax/php", cố gắng sử dụng chức năng AJAX "uploadFontlcon" của plugin để tải lên payload ZIP độc hại chứa một file PHP.
Sau khi được tải lên, tệp này tìm nạp trojan NDSW, đưa code vào các tệp Javascript hợp pháp có trên trang với mục tiêu chuyển hướng khách truy cập đến các điểm đến độc hại như các trang lừa đảo hoặc các trang tải phần mềm độc hại...
Một số tệp mà hacker sử dụng cho các payload ZIP độc hại gồm "injection.zip", "king_zip.zip", "null.zip", "plugin.zip" và "***_young.zip".
Nếu thấy sự hiện diện của các tệp trên hoặc chuỗi ";if(ndsw==" trong bất kỳ tệp Javascript nào của bạn thì có nghĩa là trang của bạn đã bị tấn công.
Nếu vẫn đang sử dụng plugin Kaswara Modern WPBakery Page Builder Addons, bạn nên xóa nó ngay lập tức khỏi trang WordPress của mình.
Nếu không sử dụng plugin trên bạn vẫn nên chặn địa chỉ IP của những kẻ tấn công.