Cyberthreat.id - Peneliti keamanan dari Defiant mengungkapkan bahwa pihaknya telah mendeteksi kampanye besar-besaran yang memindai hampir 1,6 juta situs WordPress untuk mengetahui keberadaan plugin rentan yang memungkinkan pengunggahan file tanpa otentikasi.

Dikutip dari Bleeping Computer, para penyerang menargetkan Kaswara Modern WPBakery Page Builder, yang telah ditinggalkan oleh pembuatnya sebelum menerima tambalan untuk cacat tingkat keparahan kritis yang dilacak sebagai CVE-2021-24284.

Menurut peneliti, kerentanan ini memungkinkan penyerang yang tidak diautentikasi bisa menyuntikkan Javascript berbahaya ke situs menggunakan versi plugin apa pun. Penyerang juga bisa melakukan tindakan seperti mengunggah dan menghapus file, yang dapat menyebabkan pengambilalihan situs sepenuhnya.

"Meskipun ukuran kampanye sangat mengesankan, dengan 1.599.852 situs unik yang ditargetkan, hanya sebagian kecil dari mereka yang menjalankan plugin yang rentan," kata para peneliti. 

Para peneliti yang juga pembuat solusi keamanan Wordfence untuk WordPress, mengamati rata-rata hampir setengah juta upaya serangan per hari terhadap situs pelanggan yang mereka lindungi.

Berdasarkan data telemetri Wordfence, serangan dimulai pada 4 Juli dan berlanjut hingga hari ini. dan masih berlangsung hingga saat ini dengan rata-rata 443.868 upaya setiap hari.

"Serangan ini berasal dari 10.215 alamat IP yang berbeda, dengan beberapa telah menghasilkan jutaan permintaan sementara yang lain terbatas pada jumlah yang lebih rendah," kata para peneliti.

Penyerang kemudian akan mengirim permintaan POST ke 'wp-admin/admin-ajax/php', mencoba menggunakan fungsi AJAX 'uploadFontIcon' plugin untuk mengunggah muatan ZIP berbahaya yang berisi file PHP.

File ini, pada gilirannya, mengambil trojan NDSW, yang menyuntikkan kode dalam file Javascript yang sah yang ada di situs target untuk mengarahkan pengunjung ke tujuan jahat seperti situs phishing dan menjatuhkan malware.

Beberapa nama file yang digunakan penyerang untuk muatan ZIP adalah 'inject.zip', 'king_zip.zip', 'null.zip', 'plugin.zip', dan '*_young.zip'.

File-file ini atau keberadaan “; if(ndsw==” string di salah satu file JavaScript Anda menunjukkan bahwa Anda telah terinfeksi.

Peneliti menambahkan, jika pengguna masih menggunakan plugin Kaswara Modern WPBakery Page Builder Addons, Anda harus segera menghapusnya dari situs WordPress. Jika pengguna tidak lagi menggunakan plugin, pengguna tetap disarankan untuk memblokir alamat IP penyerang.