Захист WordPress

Вразливість плагіна tagDiv composer

Pinterest LinkedIn Tumblr

Тисячі веб-сайтів WordPress було зламано, оскільки хакери використовували вразливість у плагіні конструктора сторінок tagDiv Composer, що поставляється з преміальним шаблоном Newspaper та Newsmag.

  • Уразливість позначено як CVE-2023-3169.
  • Вона дозволяє зловмисникам вводити шкідливий код у певне місце в базі даних сайту та показувати код на кожній сторінці сайту.
  • Повідомляється, що зловмисники використовуть нещодавно виправлену вразливість у плагіні конструктора сторінок преміум-тем Newspaper і Newsmag.
  • Отримавши доступ, зловмисники можуть завантажувати бекдори, додавати шкідливі плагіни та створювати облікові записи адміністратора, щоб отримати постійний доступ.
  • Цю вразливість було виправлено у плагіні версії 4.2.

Веб-розробники, які використовують теми WordPress  Newspaper та Newsmag, повинні бути обережними, оскільки нещодавно виправлена ​​вразливість використовується для отримання повного контролю над веб-сайтом. Вразливим плагіном є tagDiv Composer, важливий компонент тем Newspaper і Newsmag. Ці теми доступні на торгових площадках ThemeForest і Envato, їх завантажено понад 155 000 разів.

Першим вразливість знайшов дослідник  Труок Фан . Вона має код CVE-2023-3169 і має рейтинг небезпеки 7,1 з 10, що є середнім. Проблема була частково виправлена у версії 4.1 tagDiv Composer і повністю виправлена у версії 4.2.

За словами  дослідника з Sucuri Дениса Синегубка, зловмисники використовують цю вразливість міжсайтового сценарію (XSS), щоб вставляти шкідливий код на веб-сторінки, перенаправляючи відвідувачів на шахрайські або скомпрометовані веб-сайти.

Ці сайти пропонують фальшиву технічну підтримку, шахрайство з push-повідомленнями та шахрайські виграші в лотерею. 

Найбільш тривожним моментом у всій цій історії є те, що зловмисники вже зламали тисячі веб-сайтів WordPress. У базі даних уразливостей NIST повідомляється,  що  версії плагіна WordPress tagDiv Composer до 4.2 не мали авторизації в маршруті REST і не перевіряли або екранували деякі параметри під час виведення. Це дозволяє неавтентифікованим користувачам проводити атаки за допомогою збережених міжсайтових сценаріїв. Використовуючи цей недолік, зловмисник може впровадити шкідливий код на веб-сайт.

Варто зазначити, що ця вразливість є частиною цілої кампанії по взлому сайтів, що має назву Balada. Компанія Sucuri відстежує дану кампанії з 2017 року, коли її було вперше виявлено, і за оцінками, з 2017 року зловмисне подібне програмне забезпечення скомпрометувало понад мільйон веб-сайтів.

У вересні 2023 року ін’єкції Balada бачили на понад 17 000 веб-сайтів. 

Група, що стоїть за Balada, намагається отримати постійний контроль над скомпрометованими веб-сайтами, впроваджуючи скрипти, які створюють облікові записи з правами адміністратора. Коли справжні адміністратори виявляють це, вони видаляють переспрямування, але зберігають підроблені облікові записи адміністратора. Зловмисник використовує права адміністратора для створення нового набору шкідливих сценаріїв перенаправлення .

Коментуючи цю історію Кріс Хаук , спеціаліст у Pixel Privacy, сказав: «На жаль, плагіни та теми є улюбленими цілями хакерів, які прагнуть використати слабкі місця в екосистемі WordPress».

Кріс попередив, що «цей недолік нещодавно було виправлено в плагіні tagDiv Composer, тож, ймовірно, тисячі й тисячі сайтів WordPress використовують стару версію плагіна. Адміністратор WordPress повинен негайно оновити свої плагіни та шаблони, щоб захиститися від цього злому», — порадив він.

Будь-якому веб-розробнику чи адміністратору веб-сайту, який використовує теми WordPress Newspaper і Newsmag, необхідно перевірити сайт і журнали подій, щоб виявити ознаки зараження. Окрім видалення зловмисних сценаріїв, вони повинні перевірити наявність нових облікових записів адміністратора та бекдор-код. Ті, хто все ще використовує стару версію, повинні негайно перейти на TagDiv версії 4.2, щоб запобігти зараженню.

Дмитро Кондрюк в веб-індустрії з 2003 року. В 2009р. заснував проект Український WordPress (що у подальшому став офіційним сайтом команди локалізації WordPress в Україні). З 2010 року засновник і технічний директор проекту Український хостинг для WordPress (WPHost.me) - повноцінного хостинг-сервісу, максимально оптимізованого на використання CMS WordPress.

Коментувати