Wordfence

Les pics d’attaques servent de rappel pour mettre à jour les plugins

Posté le par Wordfence

L’équipe Wordfence Threat Intelligence surveille en permanence les tendances des données d’attaque que nous recueillons. Occasionnellement, une tendance inhabituelle découlera de ces données, et nous avons repéré une telle tendance qui se démarque pendant les vacances de Thanksgiving aux États-Unis et le premier week-end de décembre. Les tentatives d’attaque ont augmenté pour les vulnérabilités de deux plugins.

Les pics les plus importants proviennent de tentatives d’exploitation d’une vulnérabilité de téléchargement de fichiers arbitraire dans Kaswara Modern VC Addons <= version 3.0.1, pour laquelle une règle a été ajoutée au pare-feu Wordfence et disponible pour Wordfence Premium, Soins des motset Réponse Wordfence utilisateurs le 21 avril 2021 et mis à la disposition des utilisateurs de Wordfence gratuit le 21 mai 2021. L’autre vulnérabilité est une vulnérabilité de téléchargement et de suppression de fichiers arbitraires dans le plugin Adning Advertising avec les versions <= 1.5.5, avec notre règle de pare-feu ajoutée le 25 juin 2020 et mise à la disposition des utilisateurs gratuits sur 25 juillet 2020.

Kaswara et Adning exploitent les tentatives par jour

Une chose qui rend ces pics intéressants est le fait qu’ils se produisent pendant les vacances et les week-ends. Le premier pic a commencé le 24 novembre 2022, qui était la fête de Thanksgiving aux États-Unis. Ce pic a duré trois jours. Le deuxième pic avait l’air un peu différent, commençant le samedi 3 décembre 2022, chutant le dimanche et se terminant par son pic le lundi. Ces pics rappellent que les acteurs malveillants sont conscients que les administrateurs de sites Web ne prêtent pas une attention aussi particulière à leurs sites les jours fériés et les week-ends. Cela fait des vacances et des week-ends un moment propice pour tenter des attaques.

Au cours de ces pics, des tentatives d’exploitation ont été observées contre la vulnérabilité Kaswara sur 1 969 494 sites Web et sur 1 075 458 sites contre la vulnérabilité Adning. En revanche, le volume normal de sites avec des tentatives d’exploitation bloquées est en moyenne de 256 700 pour la vulnérabilité Kaswara et de 374 801 pour la vulnérabilité Adning.

Comparaison des sites de Kaswara et d'Adning avec les pointes

Le plugin Kaswara Modern VC Addons comptait plus de 10 000 installations au moment où la vulnérabilité a été divulguée le 21 avril 2021, et a depuis été fermé sans qu’un correctif ne soit publié. Tant que ce plugin est installé, il laisse le site vulnérable aux attaques qui permettent à des attaquants non authentifiés de télécharger des fichiers malveillants qui pourraient finalement conduire à une prise de contrôle complète du site en raison du fait que la possibilité de télécharger des fichiers PHP sur des serveurs hébergeant WordPress rend exécution de code à distance possible. Tout administrateur de site Web WordPress qui utilise encore le plugin doit immédiatement supprimer le plugin et le remplacer par une alternative appropriée si la fonctionnalité est toujours requise pour le site, même si vous êtes protégé par le pare-feu Wordfence, car le plugin n’a pas été maintenu et peut contenir d’autres problèmes. Nous estimons qu’environ 8 000 utilisateurs de WordPress sont toujours impactés par une version vulnérable, ce qui en fait une cible facile.

Le plugin Adning Advertising comptait plus de 8 000 utilisateurs lorsque notre équipe Threat Intelligence a effectué notre enquête initiale sur la vulnérabilité le 24 juin 2020. Après quelques analyses, nous avons trouvé deux vulnérabilités dans le plugin, une qui permettrait à un attaquant non authentifié de télécharger des fichiers arbitraires, conduisant également à une prise de contrôle facile du site. Nous avons également trouvé une vulnérabilité de suppression de fichier arbitraire non authentifiée qui pourrait tout aussi bien être utilisée pour compromettre complètement le site en supprimant le fichier wp-config.php. Après avoir informé l’auteur du plugin des vulnérabilités, il a rapidement travaillé pour publier une version corrigée dans les 24 heures. Tous les utilisateurs du plugin Adning Advertising doivent immédiatement mettre à jour vers la dernière version, actuellement 1.6.3, mais la version 1.5.6 est la version minimale qui inclut le correctif. Nous estimons qu’environ 680 utilisateurs de WordPress sont encore impactés par une version vulnérable de ce plugin.

La clé à retenir de ces tentatives d’attaque est de s’assurer que les composants de votre site Web sont mis à jour avec les dernières mises à jour de sécurité. Lorsqu’un thème ou un plugin, ou même le noyau WordPress, dispose d’une mise à jour, celle-ci doit être mise à jour dès que possible en toute sécurité pour le site Web. Laisser des vulnérabilités non corrigées sur le site Web ouvre un site Web à une éventuelle attaque.

Cyber ​​observables

Voici les observables courants que nous avons enregistrés lors de ces tentatives d’exploitation. Si l’un de ces éléments est observé sur un site Web ou dans les journaux, cela indique que l’une de ces vulnérabilités a été exploitée. Les adresses IP répertoriées proviennent spécifiquement des pics que nous avons observés pendant les vacances de Thanksgiving et le premier week-end de décembre.

Kaswara

Top 10 des adresses IP
  • 40.87.107.73
  • 65.109.128.42
  • 65.21.155.174
  • 65.108.251.64
  • 5.75.244.31
  • 65.109.137.44
  • 65.21.247.31
  • 49.12.184.76
  • 5.75.252.228
  • 5.75.252.229
Noms de fichiers téléchargés courants

Il y avait pas mal de variantes de noms de fichiers à six lettres nommés au hasard, deux sont référencés ci-dessous, mais chacun observé utilisait l’extension .zip.

  • a57bze8931.zip
  • bala.zip
  • jwoqrj.zip
  • kity.zip
  • nkhnhf.zip
Les dix principales chaînes d’agent utilisateur
  • Mozlila/5.0 (Linux ; Android 7.0 ; SM-G892A Bulid/NRD90M ; wv) AppleWebKit/537.36 (KHTML, comme Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36
  • Mozlila/5.0 (Linux ; Android 7.0 ; SM-G892A Bulid/NRD90M ; wv) AppleWebKit/537.36 (KHTML, comme Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36 X-Middleton/1
  • Mozilla/5.0 (Windows NT 6.1 ; WOW64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/36.0.1985.67 Safari/537.36
  • Amazon CloudFront
  • Mozilla/5.0 (X11 ; Linux x86_64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/80.0.3987.132 Safari/537.36
  • Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/41.0.2224.3 Safari/537.36
  • Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/49.0.2656.18 Safari/537.36
  • Mozilla/5.0 (X11 ; OpenBSD i386) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/36.0.1985.125 Safari/537.36
  • Mozilla/5.0 (X11 ; Ubuntu ; Linux x86_64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/55.0.2919.83 Safari/537.36
  • Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/52.0.2762.73 Safari/537.36

Ajouter

Top 10 des adresses IP
  • 65.109.128.42
  • 65.108.251.64
  • 65.21.155.174
  • 5.75.244.31
  • 65.109.137.44
  • 65.21.247.31
  • 5.75.252.229
  • 65.109.138.122
  • 40.87.107.73
  • 49.12.184.76
Noms de fichiers téléchargés courants

La plupart des tentatives d’exploit observées contre le plug-in Adning semblaient n’être rien de plus qu’une recherche de la vulnérabilité, mais dans un cas, le nom de fichier suivant a été observé comme une charge utile.

Les dix principales chaînes d’agent utilisateur
  • requêtes-python/2.28.1
  • Mozlila/5.0 (Linux ; Android 7.0 ; SM-G892A Bulid/NRD90M ; wv) AppleWebKit/537.36 (KHTML, comme Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36
  • Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64 ; rv : 88.0) Gecko/20100101 Firefox/88.0
  • Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/105.0.0.0 Safari/537.36
  • requêtes-python/2.28.1 X-Middleton/1
  • requêtes-python/2.26.0
  • requêtes-python/2.27.1
  • Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_15_7 ; @longcat) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/103.0.0.0 Safari/537.36
  • Mozlila/5.0 (Linux ; Android 7.0 ; SM-G892A Bulid/NRD90M ; wv) AppleWebKit/537.36 (KHTML, comme Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36 X-Middleton/1
  • Un petit client
Conclusion

Dans cet article, nous avons discuté de deux vulnérabilités qui ont augmenté au cours des deux derniers week-ends. La suppression ou la mise à jour des plugins vulnérables est toujours la meilleure solution, mais un pare-feu d’application Web comme celui fourni par Wordfence est important pour bloquer les tentatives d’exploitation et peut même protéger votre site contre les attaques ciblant des vulnérabilités inconnues. Le pare-feu Wordfence protège tous les utilisateurs de Wordfence, y compris Wordfence gratuit, Wordfence Premium, Soins des motset Réponse Wordfence, contre ces vulnérabilités. Même avec cette protection en place, ces vulnérabilités sont graves car elles peuvent entraîner une prise de contrôle complète du site, et les modules complémentaires Kaswara Modern VC doivent être immédiatement supprimés, et le plug-in Adning Advertising doit être immédiatement mis à jour.


Source link