漏洞背景
Wordpress 是一個開源 （opensource）的內容編輯與管理軟體。因其具有許多的外掛程式支援與內建的模版系統，受到全球用戶，不論是個人部落格或是企業網站管理者的歡迎，並在世界上前 1000 萬受歡迎網站中約 30.6% 的市佔率。然而，近期以研究 Wordpress 安全性的 Wordfence 團隊在7月13日發佈了一個建立在 Modern WPBakery Page Builder Add-on 外掛程式上的漏洞- 弱點編號 CVE-2021-24284。 WPBakery Page Builder 的功能是協助網頁設計者更方便的管理網頁的介面並根據使用者身份上的差異設計不同的網頁功能。（詳請請見： https://wpbakery.com/addons/）

圖片說明：7/2-7/13日每天受到 Wordpress WPBakery Page Builder 外掛程式 CVE-2021-24284 弱點攻擊的數量變化
圖片來源：https://www.wordfence.com/blog/2022/07/attacks-on-modern-wpbakery-page-builder-addons-vulnerability/

針對此弱點，自7/4起 Wordfence 團隊平均每天已經阻擋了443,868 攻擊，並估計在 1,599,852 可能被攻擊的網站中，多數的網頁並沒有使用安全的網頁插件或是意識到網頁正暴露於被攻擊的風險中。雖然目前 WPBakery Page Builder 的外掛程式已經停止開放下載，但是以往所有的下載版本都會受到此弱點影響。

 

攻擊手法
駭客會透過將php檔壓縮進一個名為 a57bze8931.zip 的壓縮檔中；並將此壓縮檔上傳到目標網站。成功上傳之後，a57bze8931.php 的php 檔將會從原壓縮檔被解壓縮並儲存到外掛程式中的 /wp-content/uploads/kaswara/icons/ 路徑。此php 會寄送 POST 的請求給後台 （/wp-admin/admin-ajax.php）將受害者的文件資料或其他個人資訊傳送並加以運用。在取得對網頁的控制之後，駭客可以再透過 JavaScript的檔案和外掛程式中 uploadFontIcon AJAX action 的漏洞，對網頁內容進行更改。

 

如何檢查自己是否正遭受攻擊？
由於多數的攻擊者都會傳送POST的請求給後台 （/wp-admin/admin-ajax.php），因此您可以察看瀏覽器活動記錄 （log）中是否有出現下列記錄：
/wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1

 

除此之外，還想知您的服務/產品在系統、網頁、或是源碼上可能存在什麼可能被惡意攻擊的弱點嗎？不知道如何針對資安弱點進行管理和改變嗎？若對於以上服務或是描述有任何疑問，歡迎致電 （02-2742-0188） 或是來信（marketing@key-wisdom.com）與關鍵智慧科技討論，了解資安相關服務內容。

 

參考資料

• PSA: Sudden Increase In Attacks On Modern WPBakery Page Builder Addons Vulnerability, Wordfence (13 July 2022)：https://www.wordfence.com/blog/2022/07/attacks-on-modern-wpbakery-page-builder-addons-vulnerability/

• Experts warn of attacks on sites using flawed Kaswara Modern WPBakery Page Builder Addons, securityaffairs (15 July 2022): https://securityaffairs.co/wordpress/133267/hacking/wpbakery-page-builder-attacks.html