1,6 milhão de sites WordPress atingidos com 13,7 milhões de ataques em 36 horas a partir de 16.000 IPs
- Quinta, 9th Dezembro, 2021
- 18:30pm
Hoje, em 9 de dezembro de 2021, nossa equipe de Inteligência de Ameaças percebeu um aumento drástico nos ataques que visam vulnerabilidades que possibilitam aos invasores atualizar opções arbitrárias em sites vulneráveis. Isso nos levou a uma investigação que descobriu um ataque ativo direcionado a mais de um milhão de sites WordPress.
Nas últimas 36 horas, a rede Wordfence bloqueou mais de 13,7 milhões de ataques direcionados a quatro plug-ins diferentes e vários temas do Epsilon Framework em mais de 1,6 milhão de sites e originados de mais de 16.000 endereços IP diferentes.
Uma análise mais detalhada dos dados de ataque
Os invasores têm como alvo 4 plug-ins individuais com vulnerabilidades de atualização de opções arbitrárias não autenticadas. Os quatro plug-ins consistem em Kiwi Social Share, que foi corrigido desde 12 de novembro de 2018, WordPress Automatic e Pinterest Automatic, que foi corrigido desde 23 de agosto de 2021, e PublishPress Capabilities que foi corrigido recentemente em 6 de dezembro de 2021 Além disso, eles têm como objetivo uma vulnerabilidade de injeção de função em vários temas do Epsilon Framework em uma tentativa de atualizar opções arbitrárias.
Na maioria dos casos, os invasores estão atualizando a users_can_registeropção para habilitada e configurando a default_roleopção como `administrador '. Isso possibilita que invasores se registrem em qualquer site como um administrador, assumindo efetivamente o controle do site.
Nossos dados de ataque indicam que havia muito pouca atividade de atacantes visando qualquer uma dessas vulnerabilidades até 8 de dezembro de 2021. Isso nos leva a acreditar que a vulnerabilidade corrigida recentemente nos recursos do PublishPress pode ter estimulado os atacantes a direcionar várias vulnerabilidades de atualização de opções arbitrárias como parte de uma campanha massiva.
Os 10 principais IPs ofensivos nas últimas 36 horas incluem:
- 144.91.111.6 com 430.067 ataques bloqueados.
- 185.9.156.158 com 277.111 ataques bloqueados.
- 195.2.76.246 com 274.574 ataques bloqueados.
- 37.187.137.177 com 216.888 ataques bloqueados.
- 51.75.123.243 com 205.143 ataques bloqueados.
- 185.200.241.249 com 194.979 ataques bloqueados.
- 62.171.130.153 com 192.778 ataques bloqueados.
- 185.93.181.158 com 181.508 ataques bloqueados.
- 188.120.230.132 com 158.873 ataques bloqueados.
- 104.251.211.115 com 153.350 ataques bloqueados.
Saiba mais: Wordfence
