Difetto del plugin TagDiv recentemente patchato sfruttato per hackerare migliaia di siti WordPress

Una vulnerabilità recentemente corretta che colpisce un plugin associato ai temi Newspaper e Newsmag è stata sfruttata per hackerare migliaia di siti Web WordPress come parte di una campagna di lunga durata denominata Balada Injector, ha avvertito venerdì la società di sicurezza web Sucuri di proprietà di GoDaddy.

La vulnerabilità sfruttata, tracciata come CVE-2023-3169, è stata scoperta da un ricercatore vietnamita nel plug-in di creazione di pagine front-end TagDiv Composer dei temi premium Newspaper e Newsmag, che sono stati venduti quasi 140.000 volte.

La falla, corretta nelle ultime settimane con il rilascio di TagDiv Composer versione 4.2, può essere sfruttata per archiviare cross-site scripting (XSS) da un utente malintenzionato non autenticato.

Dettagli della vulnerabilità sono stati resi pubblici a metà settembre e poco dopo Sucuri ha iniziato a vedere attacchi che sfruttavano la falla. L’azienda di sicurezza informatica ha collegato gli attacchi al gruppo di minaccia Balada Injector, che esiste da molti anni.

L’autore della minaccia in genere dirotta i siti Web nel tentativo di reindirizzare i visitatori a supporto tecnico falso, lotterie e altri siti di truffa. Sucuri ha stimato ad aprile che fossero stati più di un milione i siti WordPress infetto nell’ambito della campagna Balada Injector dal 2017.

Negli attacchi osservati di recente, Sucuri ha riscontrato oltre 17.000 siti Web infettati da Balada, di cui 9.000 relativi allo sfruttamento della vulnerabilità del plug-in TagDiv.

Gli hacker hanno sfruttato CVE-2023-3169 per iniettare codice dannoso in una posizione specifica nel database di WordPress, garantendo che il loro codice venisse propagato a ogni pagina pubblica del sito Web preso di mira.

Una volta ottenuto l’accesso iniziale a un sito, gli aggressori in genere caricano backdoor, aggiungono plug-in dannosi e creano account amministratore che espandono le loro capacità e forniscono loro un accesso permanente.

“Abbiamo osservato un rapido ciclo di modifiche agli script inseriti insieme a nuove tecniche e approcci. Abbiamo assistito a iniezioni casuali e tipi di offuscamento, uso simultaneo di più domini e sottodomini, abuso di CloudFlare e molteplici approcci per attaccare gli amministratori di siti WordPress infetti”, ha osservato Sucuri.

La società di sicurezza ha pubblicato un post sul blog con dettagli tecnici e indicatori di compromissione (IoC) che può essere utilizzato per determinare se un sito Web WordPress è stato preso di mira nella campagna Balada Injector. Sucuri ha anche condiviso raccomandazioni per proteggere i siti da tali attacchi.

Imparentato: Plugin WordPress abbandonato abusato per la distribuzione backdoor

Imparentato: Vulnerabilità del plug-in Field Builder di WordPress sfruttata negli attacchi due giorni dopo la patch

Imparentato: La vulnerabilità nel plug-in di migrazione di WordPress espone i siti Web agli attacchi

Imparentato: Le vulnerabilità critiche dei plugin WordPress influiscono su migliaia di siti