Злоумышленники ищут уязвимый плагин WPBakery Page Builder на 1,6 млн сайтов

Татьяна Никитина 15 Июля 2022 - 16:05

...

Злоумышленники ищут уязвимый плагин WPBakery Page Builder на 1,6 млн сайтов

Эксперты Defiant (владелец защитных решений Wordfence) фиксируют резкий рост сканов, нацеленных на эксплойт непропатченной уязвимости в плагине Kaswara Modern WPBakery Page Builder Addons. Попытки атаки замечены почти на 1,6 млн WordPress-сайтов; большинству угроза не страшна, но владельцам лучше заблокировать IP-адреса атакующих.

Уязвимость, о которой идет речь (CVE-2021-24284, 9,8 балла CVSS), позволяет без аутентификации внедрить на страницы сайта вредоносный JavaScript и захватить контроль над площадкой. Причиной появления проблемы является отсутствие проверки файлов, загружаемых через AJAX-запрос uploadFontIcon.

Набор аддонов Kaswara для WPBakery Page Builder (ранее Visual Composer) не обновляется — проект был заброшен автором, и патча для опасной дыры во всех сборках не будет. По данным Wordfence, уязвимый плагин установлен на 1000+ охраняемых ею сайтов; суммарное число установок в интернете может составлять от четырех до восьми тысяч.

Согласно телеметрии, атаки в рамках данной эксплойт-кампании начались 4 июля. Эксперты в среднем фиксируют 443 868 попыток в сутки по своей клиентской базе.

Злоумышленники отправляют запросы POST к wp-admin/admin-ajax/php, пытаясь загрузить архивный файл (ZIP) с вредоносным PHP-сценарием. В случае успеха происходит загрузка трояна NDSW, внедряющего редирект-код во все JavaScript-файлы на сайте; в результате легитимная площадка начинает автоматом перенаправлять посетителей на фишинговые либо зараженные веб-страницы.

В ходе текущих атак наблюдатели насчитали 10 215 IP-адресов, с которых исходят вредоносные запросы. Некоторые из них создают очень плотный поток (список топ-10 по активности приведен в блог-записи Wordfence).

Признаком заражения является событие загрузки a57bze8931.zip, inject.zip, king_zip.zip, null.zip, plugin.zip либо [xxx]_young.zip, а также наличие строки ;if(ndsw== в JavaScript-файлах сайта. Пользователям Kaswara Modern WPBakery Page Builder Addons рекомендуется незамедлительно удалить плагин, остальным владельцам WordPress-сайтов — внести в блоклист агрессивные «айпишники».

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Яков Шпунт 29 Декабря 2025 - 11:30

Соответствие законодательству РФ Домашние пользователи Государство Защита от мошенничества

В Госдуму внесли второй пакет мер против телефонного мошенничества

Правительство внесло в Госдуму второй пакет законопроектов, направленных на противодействие телефонному и дистанционному мошенничеству. Он включает около 20 различных мер. Руководство нижней палаты пообещало рассмотреть инициативу в приоритетном порядке. Подготовка второго антимошеннического пакета началась в марте 2025 года — практически сразу после внесения в Госдуму первого.

Как указано в пояснительной записке, цель инициативы — «комплексное совершенствование мер противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий».

Пакет законопроектов был внесен в Госдуму в пятницу вечером.

Среди мер, вошедших во второй пакет, первый вице-премьер Дмитрий Григоренко особо выделил следующие инициативы:

Введение самозапрета на входящие вызовы из-за рубежа.
Обязательная маркировка операторами связи звонков с иностранных номеров.
Ограничения на работу виртуальных АТС: их размещение только на территории России и обязательное использование Единой системы аутентификации и идентификации абонентов.
Внедрение системы учета IP-адресов.
Обязанность операторов связи передавать выявленные номера мошенников в государственную информационную систему «Антифрод».
Ограничение количества виртуальных сим-карт — не более 10 на одного абонента.
Ограничение количества банковских карт — до 20 на одного человека и не более 5 в одном банке.
Введение детских сим-карт с ограниченным набором сервисов.
Упрощение процедуры внесудебной блокировки фишинговых ресурсов (в настоящее время таким правом наделен только Банк России).
Изменение порядка восстановления доступа к порталу «Госуслуги»: воспользоваться можно будет только доверенными способами — через биометрическую идентификацию, мессенджер Max или при личном обращении в МФЦ.

Как заявил председатель Госдумы Вячеслав Володин 27 декабря, законопроект будет рассмотрен нижней палатой в приоритетном порядке. Его обсуждение запланировано на 12 января — первую пленарную сессию после новогодних каникул.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »