Plus de 1,6 million de sites WordPress scannés, à la recherche de cette extension vulnérable

Des chercheurs en sécurité ont détecté une campagne d'attaques importante à destination des sites WordPress. L'objectif de cette campagne : détecter les sites où l'extension Kaswara Modern WPBakery Page Builder est utilisée. En quelques jours, il y a eu plus de 1,6 million de sites scannés.

Les cybercriminels sont à la recherche de sites Web qui utilisent l'extension Kaswara Modern WPBakery Page Builder, abandonnée par son auteur suite à la découverte d'une faille de sécurité critique traquée avec l'identifiant CVE-2021-24284. Cette vulnérabilité n'est pas nouvelle puisque sa découverte remonte au 14 mai 2021.

Pourquoi cette vulnérabilité intéresse-t-elle autant les pirates informatiques ? Grâce à elle, un attaquant peut injecter du code JavaScript malveillant sur un site qui utilise cette extension (peu importe la version) dans le but de charger des fichiers, d'en supprimer, et donc au final, de prendre le contrôle total du site compromis. Lorsqu'un fichier est chargé en exploitant cette vulnérabilité, il se retrouve dans le répertoire "wp-content/uploads/kaswara/fonts_icon" et les pirates utilisent généralement les noms suivants dans le cadre de cette campagne : "inject.zip", "king_zip.zip", "null.zip", "plugin.zip", et  "***_young.zip".

D'après les informations de télémétrie de la solution de protection Wordfence, les pirates ont scanné plus de 1,6 million de sites depuis le début de cette campagne et seulement une petite partie des sites étaient vulnérables. Toujours d'après les données de Wordfence, il y a environ 500 000 sites scannés par jour donc à ce rythme, les sites où ce plugin est présent seront détectés à un moment ou un autre.

Quant à l'origine des attaques, les adresses IP sources sont très nombreuses : 10 215 adresses IP distinctes, à ce jour. Comme le montre le classement ci-dessous, certaines adresses IP sont beaucoup plus actives que d'autres. Ces adresses IP du "Top 10" peuvent être bloqués par CrowdSec si vous utilisez un site WordPress.

L'extension Kaswara Modern WPBakery Page Builder n'étant plus maintenue, il n'y a pas d'autres solutions que de supprimer l'extension de son site pour se protéger. Attention, cela ne concerne pas l'extension "WPBakery Page Builder for WordPress" en elle-même.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3946 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.