Тисячі веб-сайтів WordPress було зламано, оскільки хакери використовували вразливість у плагіні конструктора сторінок tagDiv Composer, що поставляється з преміальним шаблоном Newspaper та Newsmag.
- Уразливість позначено як CVE-2023-3169.
- Вона дозволяє зловмисникам вводити шкідливий код у певне місце в базі даних сайту та показувати код на кожній сторінці сайту.
- Повідомляється, що зловмисники використовуть нещодавно виправлену вразливість у плагіні конструктора сторінок преміум-тем Newspaper і Newsmag.
- Отримавши доступ, зловмисники можуть завантажувати бекдори, додавати шкідливі плагіни та створювати облікові записи адміністратора, щоб отримати постійний доступ.
- Цю вразливість було виправлено у плагіні версії 4.2.
Веб-розробники, які використовують теми WordPress Newspaper та Newsmag, повинні бути обережними, оскільки нещодавно виправлена вразливість використовується для отримання повного контролю над веб-сайтом. Вразливим плагіном є tagDiv Composer, важливий компонент тем Newspaper і Newsmag. Ці теми доступні на торгових площадках ThemeForest і Envato, їх завантажено понад 155 000 разів.
Першим вразливість знайшов дослідник Труок Фан . Вона має код CVE-2023-3169 і має рейтинг небезпеки 7,1 з 10, що є середнім. Проблема була частково виправлена у версії 4.1 tagDiv Composer і повністю виправлена у версії 4.2.
За словами дослідника з Sucuri Дениса Синегубка, зловмисники використовують цю вразливість міжсайтового сценарію (XSS), щоб вставляти шкідливий код на веб-сторінки, перенаправляючи відвідувачів на шахрайські або скомпрометовані веб-сайти.
Ці сайти пропонують фальшиву технічну підтримку, шахрайство з push-повідомленнями та шахрайські виграші в лотерею.
Найбільш тривожним моментом у всій цій історії є те, що зловмисники вже зламали тисячі веб-сайтів WordPress. У базі даних уразливостей NIST повідомляється, що версії плагіна WordPress tagDiv Composer до 4.2 не мали авторизації в маршруті REST і не перевіряли або екранували деякі параметри під час виведення. Це дозволяє неавтентифікованим користувачам проводити атаки за допомогою збережених міжсайтових сценаріїв. Використовуючи цей недолік, зловмисник може впровадити шкідливий код на веб-сайт.
Варто зазначити, що ця вразливість є частиною цілої кампанії по взлому сайтів, що має назву Balada. Компанія Sucuri відстежує дану кампанії з 2017 року, коли її було вперше виявлено, і за оцінками, з 2017 року зловмисне подібне програмне забезпечення скомпрометувало понад мільйон веб-сайтів.
У вересні 2023 року ін’єкції Balada бачили на понад 17 000 веб-сайтів.
Група, що стоїть за Balada, намагається отримати постійний контроль над скомпрометованими веб-сайтами, впроваджуючи скрипти, які створюють облікові записи з правами адміністратора. Коли справжні адміністратори виявляють це, вони видаляють переспрямування, але зберігають підроблені облікові записи адміністратора. Зловмисник використовує права адміністратора для створення нового набору шкідливих сценаріїв перенаправлення .
Коментуючи цю історію Кріс Хаук , спеціаліст у Pixel Privacy, сказав: «На жаль, плагіни та теми є улюбленими цілями хакерів, які прагнуть використати слабкі місця в екосистемі WordPress».
Кріс попередив, що «цей недолік нещодавно було виправлено в плагіні tagDiv Composer, тож, ймовірно, тисячі й тисячі сайтів WordPress використовують стару версію плагіна. Адміністратор WordPress повинен негайно оновити свої плагіни та шаблони, щоб захиститися від цього злому», — порадив він.
Будь-якому веб-розробнику чи адміністратору веб-сайту, який використовує теми WordPress Newspaper і Newsmag, необхідно перевірити сайт і журнали подій, щоб виявити ознаки зараження. Окрім видалення зловмисних сценаріїв, вони повинні перевірити наявність нових облікових записів адміністратора та бекдор-код. Ті, хто все ще використовує стару версію, повинні негайно перейти на TagDiv версії 4.2, щоб запобігти зараженню.
