Millionen von Angriffen zielen auf Tatsu Builder Plugin

16. Mai 2022
Millionen von Angriffen zielen auf Tatsu Builder Plugin

Das Wordfence Threat Intelligence Team hat einen groß angelegten Angriff auf eine Remote Code Execution Schwachstelle in Tatsu Builder verfolgt, die von CVE-2021-25094 und wurde am 24. März 2022 von einem unabhängigen Sicherheitsforscher öffentlich bekannt gemacht. Die Sicherheitslücke ist in den verwundbaren Versionen des kostenlosen und des Premium-Plugins Tatsu Builder vorhanden. Tatsu Builder ist ein proprietäres Plugin, das nicht im WordPress.org Repository aufgeführt ist. Daher sind keine zuverlässigen Installationszahlen verfügbar, aber wir schätzen, dass das Plugin zwischen 20.000 und 50.000 Mal installiert wurde. Tatsu hat am 7. April eine dringende E-Mail-Benachrichtigung an alle Kunden verschickt, in der sie aufgefordert wurden, ein Update durchzuführen. Wir schätzen jedoch, dass mindestens ein Viertel der verbleibenden Installationen immer noch anfällig ist.

Alle Wordfence-Nutzer/innen mit aktiver Wordfence Web Application Firewall, einschließlich der kostenlosen Wordfence-Kunden, sind vor Angreifern geschützt, die versuchen, diese Sicherheitslücke auszunutzen.

Die ersten Angriffe wurden am 10. Mai 2022 festgestellt. Die Angriffe dauern an und erreichten am 14. Mai 2022 einen Höchststand von 5,9 Millionen Angriffen auf 1,4 Millionen Websites. Das Angriffsvolumen ist zurückgegangen, aber die Angriffe sind zum Zeitpunkt der Veröffentlichung immer noch im Gange.

Die folgende Grafik zeigt das Gesamtvolumen der Angriffe auf die Sicherheitslücke in Tatsu Builder.

Grafik zum Angriffsvolumen gegen CVE-2021-25094

Die folgende Grafik zeigt die Gesamtzahl der Websites, die von Angreifern angegriffen wurden, um die Sicherheitslücke in Tatsu Builder auszunutzen.


Indikatoren für Angriffe

Die meisten Angriffe, die wir gesehen haben, sind Sondierungsangriffe, um das Vorhandensein eines verwundbaren Plugins festzustellen. Diese können in deinen Logs mit der folgenden Abfragezeichenfolge erscheinen:

/wp-admin/admin-ajax.php?action=add_custom_font

Die große Mehrheit der Angriffe geht auf das Konto einiger weniger IP-Adressen.

Die Top 3 der angreifenden IPs haben jeweils über 1 Million Websites angegriffen:

148.251.183.254
176.9.117.218
217.160.145.62

Weitere 15 IPs haben jeweils über 100.000 Websites angegriffen:

65.108.104.19
62.197.136.102
51.38.41.15
31.210.20.170
31.210.20.101
85.202.169.175
85.202.169.71
85.202.169.86
85.202.169.36
85.202.169.83
85.202.169.92
194.233.87.7
2.56.56.203
85.202.169.129
135.181.0.188

Indikatoren der Kompromittierung

Die häufigste Nutzlast, die wir gesehen haben, ist ein Dropper, der dazu dient, zusätzliche Malware in einem zufällig benannten Unterordner von wp-content/uploads/typehub/custom/ wie z. B. wp-content/uploads/typehub/custom/vjxfvzcd.

Der Dropper wird typischerweise genannt .sp3ctra_XO.php und hat einen MD5-Hash von 3708363c5b7bf582f8477b1c82c8cbf8.

Beachte den Punkt am Anfang, da dies auf eine versteckte Datei hinweist, die notwendig ist, um die Schwachstelle auszunutzen, da sie eine Race Condition ausnutzt.

Diese Datei wird vom Wordfence-Scanner erkannt.

Was soll ich tun?

Alle Wordfence-Benutzer, die die Wordfence Web Application Firewall aktiviert haben, einschließlich der kostenlosen Wordfence-Kunden, sind vor dieser Sicherheitslücke geschützt. Wenn du jedoch das Tatsu Builder Plugin verwendest, empfehlen wir dir dringend, auf die neueste verfügbare Version zu aktualisieren, die zum Zeitpunkt der Erstellung dieses Artikels 3.3.13 ist. Bitte beachte, dass Version 3.3.12 zwar einen Teilpatch enthielt, aber nicht alle Probleme vollständig behoben hat.

Wenn du jemanden kennst, der das Tatsu Builder Plugin auf seiner Website verwendet, empfehlen wir dir dringend, diesen Artikel weiterzuleiten, da es sich um einen groß angelegten Angriff handelt und alle anfälligen Websites, die nicht aktualisiert sind und keine Web Application Firewall verwenden, der Gefahr einer vollständigen Übernahme der Website ausgesetzt sind.

Wenn du glaubst, dass deine Website durch diese oder eine andere Schwachstelle kompromittiert wurde, bieten wir dir Incident Response Services über Wordfence Care. Wenn du deine Seite sofort reinigen lassen willst, Wordfence Antwort bietet den gleichen Service mit 24/7/365 Verfügbarkeit und einer Reaktionszeit von 1 Stunde. Beide Produkte beinhalten praktischen Support, falls du weitere Hilfe benötigst.

Quelle


Dieser Artikel ist im Original von www.wordfence.com und wurde übersetzt
https://www.wordfence.com/blog/2022/05/millions-of-attacks-target-tatsu-builder-plugin/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung