Исследователи безопасности обнаружили масштабную кампанию, в ходе которой было просканировано около 1,6 миллиона сайтов WordPress на наличие уязвимого плагина, позволяющего загружать файлы без аутентификации.
Злоумышленники нацелены на Kaswara Modern WPBakery Page Builder, который был заброшен его автором до получения исправления критической уязвимости, отслеживаемой как CVE-2021-24284.
Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, внедрять вредоносный код Javascript на сайты, используя любую версию плагина, и выполнять такие действия, как загрузка и удаление файлов, что может привести к полному захвату сайта.
Хотя масштабы кампании впечатляют: таргетингу подверглись 1 599 852 уникальных сайта, лишь небольшая часть из них использует уязвимый плагин.
Исследователи из Defiant, производителя решения для безопасности Wordfence для WordPress, наблюдали в среднем почти полмиллиона попыток атак в день на сайты клиентов, которые они защищают.
Судя по данным телеметрии Wordfence, атаки начались 4 июля и продолжаются по сей день, в среднем 443 868 попыток каждый день.
По словам исследователей, атаки происходят с 10 215 различных IP-адресов, причем некоторые из них генерируют миллионы запросов, а другие ограничены меньшим числом.
