Investigadores de seguridad han detectado una campaña masiva que ha escaneado cerca de 1,6 millones de sitios de WordPress en busca de la presencia de un plugin vulnerable que permite subir archivos sin autenticación.
Los atacantes tienen como objetivo el Kaswara Modern WPBakery Page Builder, que ha sido abandonado por su autor antes de recibir un parche para un fallo de gravedad crítica rastreado como CVE-2021-24284.
La vulnerabilidad permitiría a un atacante no autentificado inyectar Javascript malicioso en los sitios que utilicen cualquier versión del plugin y realizar acciones como subir y borrar archivos, lo que podría llevar a la toma completa del sitio.
Aunque el tamaño de la campaña es impresionante, con 1.599.852 sitios únicos como objetivo, sólo una pequeña parte de ellos está ejecutando el plugin vulnerable.
Los investigadores de Defiant, fabricante de la solución de seguridad Wordfence para WordPress, observaron una media de casi medio millón de intentos de ataque al día contra los sitios de los clientes que protegen.
Según los datos de telemetría de Wordfence, los ataques empezaron el 4 de julio y continúan hasta hoy. y siguen en curso con una media de 443.868 intentos diarios.
Los ataques se originan en 10.215 direcciones IP distintas, algunas de las cuales han generado millones de solicitudes, mientras que otras se limitan a cifras menores, según los investigadores.
Si todavía está utilizando el plugin Kaswara Modern WPBakery Page Builder Addons, debe eliminarlo inmediatamente de su sitio de WordPress.
Si no está utilizando el plugin, se recomienda bloquear las direcciones IP de los atacantes. Para más detalles sobre los indicadores y las fuentes de peticiones más prolíficas, consulte el blog de Wordfence.
Info – Ciberseguridad Latam