Злоумышленники ищут уязвимый плагин WPBakery Page Builder на 1,6 млн сайтов

Татьяна Никитина 15 Июля 2022 - 16:05

...

Злоумышленники ищут уязвимый плагин WPBakery Page Builder на 1,6 млн сайтов

Эксперты Defiant (владелец защитных решений Wordfence) фиксируют резкий рост сканов, нацеленных на эксплойт непропатченной уязвимости в плагине Kaswara Modern WPBakery Page Builder Addons. Попытки атаки замечены почти на 1,6 млн WordPress-сайтов; большинству угроза не страшна, но владельцам лучше заблокировать IP-адреса атакующих.

Уязвимость, о которой идет речь (CVE-2021-24284, 9,8 балла CVSS), позволяет без аутентификации внедрить на страницы сайта вредоносный JavaScript и захватить контроль над площадкой. Причиной появления проблемы является отсутствие проверки файлов, загружаемых через AJAX-запрос uploadFontIcon.

Набор аддонов Kaswara для WPBakery Page Builder (ранее Visual Composer) не обновляется — проект был заброшен автором, и патча для опасной дыры во всех сборках не будет. По данным Wordfence, уязвимый плагин установлен на 1000+ охраняемых ею сайтов; суммарное число установок в интернете может составлять от четырех до восьми тысяч.

Согласно телеметрии, атаки в рамках данной эксплойт-кампании начались 4 июля. Эксперты в среднем фиксируют 443 868 попыток в сутки по своей клиентской базе.

Злоумышленники отправляют запросы POST к wp-admin/admin-ajax/php, пытаясь загрузить архивный файл (ZIP) с вредоносным PHP-сценарием. В случае успеха происходит загрузка трояна NDSW, внедряющего редирект-код во все JavaScript-файлы на сайте; в результате легитимная площадка начинает автоматом перенаправлять посетителей на фишинговые либо зараженные веб-страницы.

В ходе текущих атак наблюдатели насчитали 10 215 IP-адресов, с которых исходят вредоносные запросы. Некоторые из них создают очень плотный поток (список топ-10 по активности приведен в блог-записи Wordfence).

Признаком заражения является событие загрузки a57bze8931.zip, inject.zip, king_zip.zip, null.zip, plugin.zip либо [xxx]_young.zip, а также наличие строки ;if(ndsw== в JavaScript-файлах сайта. Пользователям Kaswara Modern WPBakery Page Builder Addons рекомендуется незамедлительно удалить плагин, остальным владельцам WordPress-сайтов — внести в блоклист агрессивные «айпишники».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 01 Августа 2025 - 10:48

Соответствие законодательству РФ Общее Системы аутентификации Биометрические системы аутентификации

Доступ к Госуслугам предлагают восстановить через MAX

Во второй пакет антимошеннических поправок предложено включить возможность восстановления доступа к украденной учетной записи через мессенджер MAX или с использованием биометрии. В настоящее время это можно сделать только через приложение банка или при личном визите в МФЦ.

Как сообщает русская редакция Forbes, в первой версии поправок использование мессенджера MAX не предусматривалось. Тогда в качестве альтернативы визиту в МФЦ или использованию банковского приложения предлагалось только применение биометрической аутентификации.

Тема восстановления доступа к аккаунтам на «Госуслугах» остается крайне актуальной. По данным МВД, в 2024 году было зафиксировано 104 653 преступления, связанных с неправомерным доступом к компьютерной информации — в три раза больше, чем годом ранее. Из них около 90% касались взломов именно учетных записей на портале «Госуслуги».

Эксперты в сфере информационной безопасности отнеслись к идее с осторожностью. Бизнес-консультант Positive Technologies Алексей Лукацкий обратил внимание на возможные риски при подмене или компрометации учетной записи в MAX.

Он также отметил, что поскольку мессенджер принадлежит коммерческой компании, это может сказаться на уровне доверия к платформе.

Руководитель департамента ИБ компании ИВК Игорь Корчагин отметил, что увеличение числа способов входа на портал «Госуслуги» повышает риск взлома. По его словам, инциденты с MAX уже зафиксированы: зафиксированы попытки кражи аккаунтов и высокая фишинговая активность в отношении пользователей сервиса.

По мере расширения функциональности мессенджера, как предупреждает эксперт, количество потенциальных векторов атак будет только расти.