Peneliti keamanan telah mendeteksi kampanye besar-besaran yang memindai hampir 1,6 juta situs WordPress untuk mengetahui keberadaan plugin rentan yang memungkinkan pengunggahan file tanpa otentikasi.
Berdasarkan data Wordfence, serangan dimulai pada 4 Juli dan berlanjut hingga hari ini. dan masih berlangsung hingga saat ini dengan rata-rata 443.868 upaya setiap hari. Serangan berasal dari 10.215 alamat IP yang berbeda, dengan beberapa telah menghasilkan jutaan permintaan sementara yang lain terbatas pada jumlah yang lebih rendah, kata para peneliti.
Penyerang mengirim permintaan POST ke ‘wp-admin/admin-ajax/php’, mencoba menggunakan fungsi AJAX ‘uploadFontIcon’ plugin untuk mengunggah muatan ZIP berbahaya yang berisi file PHP. File ini, pada gilirannya, mengambil trojan NDSW, yang menyuntikkan kode dalam file Javascript yang sah yang ada di situs target untuk mengarahkan pengunjung ke tujuan jahat seperti situs phishing dan menjatuhkan malware. Beberapa nama file yang digunakan penyerang untuk muatan ZIP adalah ‘inject.zip’, ‘king_zip.zip’, ‘null.zip’, ‘plugin.zip’, dan ‘***_young.zip’. File-file ini atau keberadaan “; if(ndsw==” string di salah satu file JavaScript Anda menunjukkan bahwa Anda telah terinfeksi.
Pengguna WordPress disarankan untuk mengupdate wordpress dan plugin yang digunakan.
sumber: https://www.bleepingcomputer.com/news/security/attackers-scan-16-million-wordpress-sites-for-vulnerable-plugin/
