Wordfence-Forscher schlagen Alarm wegen einer „plötzlichen“ Häufung von Cyberangriffen, die versuchen, eine ungepatchte Schwachstelle im WordPress-Plugin Kaswara Modern WPBakery Page Builder Addons auszunutzen.
Die Schwachstelle mit der Bezeichnung CVE-2021-24284 wird im CVSS Schwachstellen-Scoring-System mit 10.0 bewertet und betrifft einen unautorisierten willkürlichen Datei-Upload, der zur Ausführung von Code missbraucht werden kann, wodurch Angreifer die Kontrolle über betroffene WordPress-Websites übernehmen können.
Obwohl der Fehler ursprünglich im April 2021 von der WordPress-Sicherheitsfirma bekannt gegeben wurde, ist er bis heute nicht behoben worden. Erschwerend kommt hinzu, dass das Plugin geschlossen wurde und nicht mehr aktiv gepflegt wird.
Wordfence, das über 1.000 Websites schützt, auf denen das Plugin installiert ist, hat nach eigenen Angaben seit Anfang des Monats durchschnittlich 443.868 Angriffsversuche pro Tag blockiert.
Die Angriffe gingen von 10.215 IP-Adressen aus, wobei ein Großteil der Angriffsversuche auf 10 IP-Adressen eingegrenzt werden konnte. Dabei wird ein ZIP-Archiv hochgeladen, das eine bösartige PHP-Datei enthält, die es dem Angreifer ermöglicht, bösartige Dateien auf die infizierte Website hochzuladen.
Ziel der Kampagne ist es offenbar, Code in ansonsten legitime JavaScript-Dateien einzufügen und die Besucher der Website auf bösartige Websites umzuleiten. Es ist erwähnenswert, dass die Angriffe von Avast und Sucuri unter den Namen Parrot TDS bzw. NDSW aufgespürt worden sind.
Es heißt, dass zwischen 4.000 und 8.000 Websites das Plugin installiert haben. Daher sollten Nutzer/innen es unbedingt von ihren WordPress-Websites entfernen, um mögliche Angriffe zu vereiteln und eine geeignete Alternative zu finden.