Forscher bei Defiant stellten einen plötzlichen Anstieg der Angriffe auf den Kaswara Modern WPBakery Page Builder fest – ein aufgegebenes WordPress-Plugin mit Millionen von Installationen.
Angreifer durchsuchen das Internet massenhaft nach Websites mit diesem Plugin, sodass sie eine bekannte Schwachstelle ausnutzen und anfällige Websites übernehmen können. Forscher sagten, dass Angreifer, die dieses Plugin erfolgreich ausnutzen, bösartige JavaScript-Dateien hochladen und die Besucher der betroffenen Website infizieren könnten.
Ein aufgegebenes WordPress-Plugin
Hacker nutzen häufig alte Software aus, die von ihren Autoren freigegeben wurde, da sie Schwachstellen enthält, für die es keine Patches gibt. Dasselbe passiert auch bei WordPress-Sites, wo Bedrohungsakteure anfällige Plug-Ins in WordPress-Sites ausnutzen.
Ein solcher Fall ereignet sich derzeit gegen die Kaswara Moderner WPBakery-Seitenersteller – ein ziemlich beliebtes WP-Plugin, das von seinem Autor aufgegeben wurde und eine Sicherheitslücke mit der Bezeichnung CVE-2021-24284 enthält.
Bei einem Missbrauch können dadurch nicht authentifizierte Benutzer auf die Site zugreifen und schädliche Dateien hochladen sowie Befehle auf Administratorebene ausführen, z. B. Inhalte veröffentlichen oder löschen. Forscher bei Defiant stellten fest, dass diese Woche 1.599.852 einzelne Websites Ziel von Hackerangriffen waren!
Allerdings verwendet ein kleiner Teil von ihnen dieses fehlerhafte Plugin. Dennoch sind sie überrascht, wie groß die Kampagne ist, bei der Angreifer das Internet massenhaft nach anfälligen Websites durchsuchen. Schon jetzt finden laut den Forschern durchschnittlich eine halbe Million Angriffsversuche pro Tag statt.
WordPress-Site-Administratoren, die das Kaswara Modern WPBakery Page Builder-Plugin verwenden, wird empfohlen, es vollständig zu entfernenda der Autor keine Patches zum Schließen der oben genannten Sicherheitslücke veröffentlicht hat.
Darüber hinaus wird den anderen Site-Administratoren empfohlen, ihre Sites mit verdächtigen ZIP-Dateien („inject.zip“, „king_zip.zip“, „null.zip“, „plugin.zip“ und „***_young.zip“) zu überprüfen, um Infektionen zu erkennen und diese ggf. zu entfernen.
