Migliaia di siti WordPress sono stati violati a causa della vulnerabilità del plugin tagDiv
Migliaia di siti che eseguono il sistema di gestione dei contenuti WordPress sono stati violati da un prolifico attore di minacce che ha sfruttato una vulnerabilità recentemente corretta in un plug-in ampiamente utilizzato.
Il plugin vulnerabile, noto come tagDiv Composer, è un requisito obbligatorio per l’utilizzo di due temi WordPress: Giornale E Newsmag. I temi sono disponibili attraverso i mercati Theme Forest ed Envato e hanno più di 155.000 download.
Classificata come CVE-2023-3169, la vulnerabilità è nota come difetto di cross-site scripting (XSS) che consente agli hacker di inserire codice dannoso nelle pagine web. Scoperto da un ricercatore vietnamita Truoc Phanla vulnerabilità ha un livello di gravità di 7,1 su un massimo di 10. È stata parzialmente corretta nella versione tagDiv Composer 4.1 e completamente patchata nella 4.2.
Secondo a inviare Creato dal ricercatore di sicurezza Denis Sinegubko, gli autori delle minacce stanno sfruttando la vulnerabilità per iniettare script web che reindirizzano i visitatori a vari siti truffa. I reindirizzamenti portano a siti che promuovono un falso supporto tecnico, vincite fraudolente alla lotteria e truffe con notifiche push, le ultime delle quali inducono i visitatori a iscriversi alle notifiche push visualizzando dialoghi captcha falsi.
Sucuri, la società di sicurezza per cui lavora Sinegubko, monitora la campagna malware dal 2017 e l’ha chiamata Balada. Sucuri stima che negli ultimi sei anni Balada abbia compromesso più di 1 milione di siti. Il mese scorso, Sucuri ha rilevato iniezioni di Balada in più di 17.000 siti, quasi il doppio del numero che l’azienda aveva visto il mese prima. Oltre 9.000 delle nuove infezioni sono state il risultato di iniezioni rese possibili sfruttando CVE-2023-3169.
Sinegubko ha scritto:
Abbiamo osservato un rapido ciclo di modifiche agli script inseriti insieme a nuove tecniche e approcci. Abbiamo assistito a iniezioni casuali e tipi di offuscamento, uso simultaneo di più domini e sottodomini, abuso di CloudFlare e molteplici approcci per attaccare gli amministratori di siti WordPress infetti.
Settembre è stato anche un mese molto impegnativo per migliaia di utenti del tema tagDiv Newspaper. La campagna malware Balada Injector ha eseguito una serie di attacchi mirati sia alla vulnerabilità del plugin tagDiv Composer che agli amministratori dei blog di siti già infetti.
Sucuri ha monitorato non meno di sei ondate di iniezioni che sfruttano la vulnerabilità. Sebbene ogni ondata sia distinta, tutte contengono uno script rivelatore inserito all’interno di questi tag:
<style id="tdw-css-placeholder"></style><script>...malicious injection…</script><style></style>
L’iniezione dannosa utilizza codice offuscato per renderne difficile il rilevamento. Si trova nel database utilizzato dai siti WordPress, in particolare nell’opzione “td_live_css_local_storage” della tabella wp_options.
L’autore della minaccia Balada ha sempre tentato di ottenere un controllo persistente sui siti Web che compromette. Il modo più comune per farlo è inserendo script che creano account con privilegi di amministratore. Se gli amministratori reali rilevano e rimuovono gli script di reindirizzamento ma consentono la permanenza degli account amministratore falsi, l’autore della minaccia utilizza il proprio controllo amministrativo per aggiungere un nuovo set di script di reindirizzamento dannosi.
Il ricercatore ha scritto:
Gli hacker di Balada Injector mirano sempre a un controllo persistente sui siti compromessi caricando backdoor, aggiungendo plug-in dannosi e creando amministratori di blog non autorizzati. In questo caso, il [CVE-2023-3169] la vulnerabilità non consente loro di raggiungere facilmente questo obiettivo. Tuttavia, ciò non ha mai impedito a Balada di tentare di impadronirsi completamente dei siti con vulnerabilità XSS archiviate.
Balada è noto da tempo per l’immissione di script dannosi che prendono di mira gli amministratori dei siti che hanno effettuato l’accesso. L’idea è che quando l’amministratore di un blog accede a un sito web, il suo browser contiene cookie che gli consentono di svolgere tutte le attività amministrative senza doversi autenticare su ogni nuova pagina. Pertanto, se il browser carica uno script che tenta di emulare l’attività dell’amministratore, sarà in grado di fare quasi tutto ciò che può essere fatto tramite l’interfaccia di amministrazione di WordPress.
Chiunque amministri un sito che utilizza i temi WordPress Newspaper o Newsmag dovrebbe ispezionare attentamente sia il proprio sito che i registri eventi per individuare eventuali segni di infezione utilizzando i numerosi indicatori di compromissione inclusi nel post di Sucuri. Come accennato, gli autori delle minacce Balada tentano di ottenere un accesso persistente ai siti che compromettono. Oltre a rimuovere eventuali script dannosi aggiunti, è anche importante verificare la presenza di codice backdoor e l’aggiunta di eventuali account amministratore.