-
Kaspersky ra mắt nền tảng XDR chống lại tấn công r...
-
Ransomware là mối đe dọa hàng đầu đối với doanh ng...
-
Thông báo thời gian kỳ nghỉ công ty năm 2023
-
Thông báo danh sách người trúng thưởng chương trìn...
-
NTS tiếp sức đến trường mang yêu thương đến học si...
-
Sự sơ suất của nhân viên đáng lo ngại không kém rò...
Tin tặc rà quét lỗ hổng plugin và hack hàng triệu trang WordPress
Các nhà nghiên cứu bảo mật vừa phát hiện ra một chiến dịch tấn công quy mô lớn của tội phạm mạng. Trong chiến dịch này, hacker đã tiến hành rà quét gần 1,6 triệu trang web WordPress để tìm một plugin dễ bị tấn công, cho phép tải file lên mà không cần xác thực.
Hacker đang nhắm mục tiêu vào Kaswara Modern WPBakery Page Builder, một plugin đã bị tác giả bỏ rơi trước khi nhận được bản vá cho lỗ hổng nghiêm trọng đang được theo dõi với mã CVE-2021-24284.
Lỗ hổng này cho phép kẻ tấn công tiêm mã Javascript độc hại vào các trang web sử dụng bất kỳ phiên bản plugin Kaswara Modern WPBakery Page Builder nào mà không cần xác thực. Sau đó, chúng có thể thực hiện các hành vi như tải lên và xóa file từ đí dẫn tới việc chiếm hoàn toàn quyền điều khiển trang web.
Mặc dù quy mô của chiến dịch này rất lớn với 1.599.852 trang web đang bị nhắm mục tiêu nhưng chỉ một phần nhỏ trong số đó đang chạy plugin dễ bị tấn công.
Các nhà nghiên cứu tại Defiant, hãng cung cấp giải pháp bảo mật Wordfence cho WordPress, nhận thấy trung bình mỗi ngày có gần nửa triệu lần tấn công nhắm vào trang web của những khách hàng mà họ đang bảo vệ.
Dựa trên dữ liệu thu thập từ Wordfence, các nhà nghiên cứu xác định các cuộc tấn công bắt đầu từ ngày 04/7 và tiếp diễn cho tới tận bây giờ. Trung bình, mỗi ngày hacker thử tấn công 443.868 lần.
Các cuộc tấn công bắt nguồn từ 10.215 địa chỉ IP riêng biệt, một số địa chỉ IP tạo ra hàng triệu lượt tấn công trong khi số còn lại tạo ra ít lượt tấn công hơn.
Những kẻ tấn công gửi yêu cầu ĐĂNG (POST) tới "wp-admin/admin-ajax/php", cố gắng sử dụng chức năng AJAX "uploadFontlcon" của plugin để tải lên payload ZIP độc hại chứa một file PHP.
Sau khi được tải lên, tệp này tìm nạp trojan NDSW, đưa code vào các tệp Javascript hợp pháp có trên trang với mục tiêu chuyển hướng khách truy cập đến các điểm đến độc hại như các trang lừa đảo hoặc các trang tải phần mềm độc hại...
Một số tệp mà hacker sử dụng cho các payload ZIP độc hại gồm "injection.zip", "king_zip.zip", "null.zip", "plugin.zip" và "***_young.zip".
Nếu thấy sự hiện diện của các tệp trên hoặc chuỗi ";if(ndsw==" trong bất kỳ tệp Javascript nào của bạn thì có nghĩa là trang của bạn đã bị tấn công.
Nếu vẫn đang sử dụng plugin Kaswara Modern WPBakery Page Builder Addons, bạn nên xóa nó ngay lập tức khỏi trang WordPress của mình. Nếu không sử dụng plugin trên bạn vẫn nên chặn địa chỉ IP của những kẻ tấn công.
Theo The HackerNews
TIN CÙNG CHUYÊN MỤC
Kaspersky ra mắt nền tảng XDR chống lại ...
Ransomware là mối đe dọa hàng đầu đối vớ...
Sự sơ suất của nhân viên đáng lo ngại kh...
Người máy cũng bị sa thải hàng loạt theo...
Kaspersky tiết lộ các thuật ngữ an ninh ...
Windows 11 được Microsoft mời gọi cập nh...
-
Kaspersky tiết lộ các thuật ngữ an ninh mạng cơ bả...
-
Thông báo danh sách người trúng thưởng chương trìn...
-
Áp dụng giải pháp mới: Chủ đề khó thảo luận với nh...
-
Sự sơ suất của nhân viên đáng lo ngại không kém rò...
-
Người máy cũng bị sa thải hàng loạt theo xu hướng ...
-
Windows 11 được Microsoft mời gọi cập nhật trên cá...
-
Kaspersky ra mắt nền tảng XDR chống lại tấn công r...
-
Ransomware là mối đe dọa hàng đầu đối với doanh ng...
-
Thông báo thời gian kỳ nghỉ công ty năm 2023
-
Thông báo danh sách người trúng thưởng chương trìn...
-
NTS tiếp sức đến trường mang yêu thương đến học si...
-
Sự sơ suất của nhân viên đáng lo ngại không kém rò...
TAGS
LIÊN HỆ
