WordPress: ancora grossi problemi con il plugin deprecato Kaswara Modern WPBakery Page Builder

Bug Kaswara Modern WPBakery Page Builder

Bug Kaswara Modern WPBakery Page Builder

Negli ultimi giorni il team di Wordfence, plugin che non ha bisogno di presentazioni quando parliamo di sicurezza WordPress, ha notato un aumento degli attacchi a siti web che usano ancora il plugin Kaswara Modern WPBakery Page Builder Addons, componente che aggiunge delle funzioni al noto WPBakery.

Sebbene Kaswara Modern WPBakery Page Builder Addons sia stato già rimosso e bloccato da tempo, le installazioni di questo plugin sono ancora molte e, nello specifico Wordfence ha notato degli inserimenti fraudolenti di file PHP proprio grazie a questo plugin, al fine di prendere informazioni e/o addirittura l’acquisizione completa del sito web.

Per evitare problemi invitiamo gli utenti a rimuovere il plugin Kaswara dal proprio sito perché presenta un grosso problema di sicurezza che spieghiamo qui sotto. Per questo motivo il plugin è stato rimosso da una delle piattaforme più famose tra gli addetti ai lavori: Envato e non viene più supportato ne aggiornato.

Scopriamo la minaccia CVE-2021-24284: i log ci danno una mano

La minaccia è stata chiamata con nome in codice CVE-2021-24284 e la maggioranza degli attacchi inviano una richiesta POST al file /wp-admin/admin-ajax.php utilizzando l’azione AJAX uploadFontIcon del plugin per caricare file sul sito web.

Anche in questo caso i log ci possono venire in aiuto mostrando la stringa di query incriminate che dovrebbero avere questa dicitura: /wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1.

Il volume degli attacchi nell’ultimo periodo

CVE-2021-24284 volume degli attacchi

CVE-2021-24284 volume degli attacchi

Come mostrato dall’immagine di Wordfence, il numero dei tentativi di attacchi nell’ultimo periodo sono moltissimi a significare che molti utenti stanno continuando ad utilizzare questo plugin nonostante sia stato bloccato e rimosso da una delle più famose banche di temi e plugin: Envato come dimostrato nella pagina dedicata.

Approfondiamo la minaccia CVE-2021-24284

Stando a quanto dichiarato dal team di Wordfence la directory (o cartella) incriminata dove si dovrebbero trovare alcuni file fraudolenti in caso di compromissione del plugin è: /wp-content/uploads/kaswara/.

In pratica se trovate dei file PHP all’interno di questa directory è probabile che il vostro sito sia stato compromesso.

A seguire il dettaglio di alcuni file incriminati che dovreste trovare all’interno:

  • /wp-content/uploads/kaswara/icons/kntl/img.php
  • /wp-content/uploads/kaswara/fonts_icon/15/icons.php
  • /wp-content/uploads/kaswara/icons/brt/t.php
  • /wp-content/uploads/kaswara/fonts_icon/jg4/coder.php

Inoltre gli aggressori tentano anche di inserire un file .ZIP chiamato a57bze8931.zip che contiene un hash MD5 d03c3095e33c7fe75acb8cddca230650: quando questo viene estratto nella directory (o cartella) /wp-content/uploads/kaswara/icons/, l’utente fraudolento può caricare file indisturbato nel sito web ormai compromesso.

Se tutto ciò non bastasse sono trapelate informazioni a riguardo di alcuni trojan NDSW che iniettano codice JavaScript che reindirizza i visitatori del sito a siti web dannosi e fraudolenti.

A seguire una lista dei nomi dei file incriminati:

  • [xxx]_young.zip dove “xxx” varia come ad esempio “svv_young.zip”
  • inject.zip
  • king_zip.zip
  • null.zip
  • plugin.zip

Non utilizzate più Kaswara Modern WPBakery Page Builder (conclusioni)

Alla luce di tutto questo invitiamo gli utenti a non utilizzare più Kaswara Modern WPBakery Page Builder e ad informare chiunque utilizzi ancora questo plugin.

In passato ci è già capitato di scrivere a riguardo di problemi di sicurezza dei plugin CMS ma di solito mostravamo come si risolveva il problema. In questo caso invece il bug non è stato proprio risolto e lo sviluppatore non ha più aggiornato il plugin con la conseguenza che Kaswara Modern WPBakery è completamente vulnerabile e instabile, sia per quanto riguarda il bug che ovviamente per tutti gli aggiornamenti futuri che WordPress metterà a disposizione.

Sperando di aver fatto cosa gradita vi faremo sapere se ci saranno novità a riguardo non smettendo mai di sottolineare l’importanza di controllare sempre i plugin che si installano su WordPress.

Fonte 1, Fonte 2

 

 

Rispondi all'articolo

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *


Il periodo di verifica reCAPTCHA è scaduto. Ricaricare la pagina.