اكتشف باحثو الأمن حملة ضخمة قامت بمسح ما يقرب من 1.6 مليون موقع WordPress بحثًا عن وجود مكون إضافي ضعيف يسمح بتحميل الملفات دون مصادقة.

يستهدف المهاجمون Kaswara Modern WPBakery Page Builder، الذي تخلى عنه مؤلفه قبل تلقي تصحيح لخطورة خطيرة تم تعقبها كـ  CVE-2021-24284.

ستسمح الثغرة الأمنية لمهاجم غير مصدق بحقن جافا سكريبت ضار في المواقع باستخدام أي إصدار من المكوّن الإضافي وتنفيذ إجراءات مثل تحميل الملفات وحذفها، مما قد يؤدي إلى الاستيلاء الكامل على الموقع.

في حين أن حجم الحملة مثير للإعجاب، حيث يتم استهداف 1599852 موقعًا فريدًا، إلا أن جزءًا صغيرًا منهم فقط يشغل المكوِّن الإضافي الضعيف.

لاحظ الباحثون في Defiant، صانع الحل الأمني ​​لـ Wordfence لـ WordPress ، ما يقرب من نصف مليون محاولة هجوم يوميًا ضد مواقع العملاء التي يقومون بحمايتها.

استنادًا إلى بيانات Wordfence عن بُعد، بدأت الهجمات في 4 يوليو واستمرت حتى يومنا هذا. وما زالت مستمرة حتى اليوم بمتوسط ​​443،868 محاولة يوميًا.

يقول الباحثون إن الهجمات نشأت من 10215 عنوان IP مميزًا ، بعضها أنشأ ملايين الطلبات بينما يقتصر البعض الآخر على أرقام أقل .

يرسل المهاجمون طلب POST إلى "wp-admin / admin-ajax / php" ، في محاولة لاستخدام وظيفة AJAX الخاصة بالملحق "uploadFontIcon" الإضافي لتحميل حمولة ZIP ضارة تحتوي على ملف PHP.

يقوم هذا الملف بدوره بجلب حصان طروادة NDSW ، والذي يقوم بحقن التعليمات البرمجية في ملفات جافا سكريبت الشرعية الموجودة على المواقع المستهدفة لإعادة توجيه الزوار إلى وجهات ضارة مثل مواقع التصيد الاحتيالي وإسقاط البرامج الضارة.

بعض أسماء الملفات التي يستخدمها المهاجمون لحمولات ZIP هي "injection.zip" و "king_zip.zip" و "null.zip" و "plugin.zip" و "*** _ young.zip".

هذه الملفات أو وجود “؛ إذا كانت (ndsw == ”سلسلة في أي من ملفات JavaScript الخاصة بك تشير إلى أنك مصاب.

إذا كنت لا تزال تستخدم المكون الإضافي Kaswara Modern WPBakery Page Builder Addons ، فيجب عليك إزالته على الفور من موقع WordPress الخاص بك.

إذا كنت لا تستخدم المكون الإضافي ، فلا يزال من المستحسن حظر عناوين IP للمهاجمين. لمزيد من التفاصيل حول المؤشرات وأكثر مصادر الطلبات غزارة ، راجع مدونة Wordfence.