Naukowcy ostrzegają, że poważna luka obecna w dziesiątkach tysięcy witryn WordPress jest wykorzystywana w środowisku naturalnym.
Specjaliści ds. bezpieczeństwa z zespołu Wordfence Threat Intelligence odkryli niedawno lukę umożliwiającą zdalne wykonanie kodu (RCE) we wtyczce do popularnej platformy CMS o nazwie Tatsu Builder.
Luka jest identyfikowana jako CVE-2021-25094 i została po raz pierwszy wykryta pod koniec marca tego roku. Jest obecny w darmowych i premium wersjach wtyczki WordPress.
wdrażanie złośliwego oprogramowania
Atakujący wykorzystują lukę wtyczki WordPress do zaimplementowania droppera, który następnie instaluje dodatkowe złośliwe oprogramowanie. Dropper jest zwykle umieszczany w losowym podfolderze pod wp-content/uploads/typehub/custom/.
Nazwa pliku zaczyna się od kropki, wskazującej na ukryty plik. Naukowcy twierdzą, że jest to konieczne, aby wykorzystać lukę, ponieważ wykorzystuje sytuację wyścigu.
Ponieważ wtyczka nie jest wymieniona w repozytorium WordPress.org, Wordfence twierdzi, że bardzo trudno jest dokładnie określić, ile witryn jest zainstalowanych. Mimo to firma szacuje, że od 20.000 50.000 do XNUMX XNUMX stron internetowych korzysta z Tatsu Builder.
Chociaż administratorzy zostali powiadomieni o usterce około dziesięć dni temu, Wordfence szacuje, że co najmniej jedna czwarta nadal jest podatna na ataki, co oznaczałoby, że od 5.000 12.500 do XNUMX XNUMX witryn nadal może zostać zaatakowanych.
Naukowcy twierdzą, że ataki, które rozpoczęły się tydzień temu, nadal trwają, dodając, że liczba ataków osiągnęła szczyt i od tego czasu spadła.
Większość z nich to ataki sondujące, które mają na celu ustalenie, czy witryna jest podatna na ataki, czy nie. Najwyraźniej większość ataków pochodziła z zaledwie trzech różnych adresów IP.
Administratorzy, którzy chcą wiedzieć, czy zostali zaatakowani przez hakerów, powinni sprawdzić w swoich dziennikach następujący ciąg zapytania: /wp-admin/admin-ajax.php?action=add_custom_font
Osobom, które zainstalowały wtyczkę Tatsu Builder, zaleca się jak najszybszą aktualizację do najnowszej wersji (3.3.13).