Команда Wordfence Threat Intelligence отслеживает внезапное увеличение числа попыток атак, направленных на аддоны Kaswara Modern WPBakery Page Builder. Эта продолжающаяся кампания пытается воспользоваться уязвимостью произвольной загрузки файлов, отслеживаемой как CVE-2021-24284, которая была раскрыта ранее и не была исправлена в закрытом плагине.
Поскольку плагин был закрыт без исправления, все версии плагина подвержены этой уязвимости. Уязвимость может быть использована для загрузки вредоносных PHP-файлов на пораженный сайт, что приведет к выполнению кода и полному захвату сайта. Закрепившись на сайте, злоумышленники могут внедрить вредоносный JavaScript в файлы на сайте, а также совершить другие вредоносные действия.
Indicators of Compromise
IPv4 (attacking IP addresses)
- 217.160.48.108
- 5.9.9.29
- 2.58.149.35
- 20.94.76.10
- 20.206.76.37
- 20.219.35.125
- 20.223.152.221
- 5.39.15.163
- 194.87.84.195
- 194.87.84.193
URLs
- /wp-admin/admin-ajax.php?action=uploadFontIcon
MD5
- d03c3095e33c7fe75acb8cddca230650
File Names
- a57bze8931.zip
- a57bze8931.php