Hvis du bruger WordPress, så skynd dig at opdater til den seneste version!

Tusindvis af WordPress-websites er blevet hacket, da hackere udnytter en sårbarhed i tagDiv Composer front-end sideopbyggerpluginen.

Oversigt over Balada malwaren

• Sårbarheden er kendt som CVE-2023-3169

• Den tillader angribere at indsætte skadelig kode på et bestemt sted i webstedets database og sprede koden til hver offentlige side i det målrettede område

• Balada-malware-kampagnen udnytter angiveligt en nylig rettet sårbarhed i nøglekomponenten tagDiv Composer front-end sideopbyggerplugin i Newspaper og Newsmag premium-temaerne

• Efter at have opnået indledende adgang kan angribere uploade bagdøre, tilføje skadelige plugins og oprette admin-konti for at opnå vedvarende adgang

• Denne sårbarhed blev rettet i pluginets version 4.2

Webudviklere, der bruger WordPress-temaerne Newspaper og Newsmag, skal forblive forsigtige, da en nylig rettet sårbarhed udnyttes for at opnå fuld kontrol over et websted. Det sårbare plugin er tagDiv Composer, en essentiel komponent i Newspaper og Newsmag-temaerne. Disse temaer er tilgængelige via Theme Forest og Envato-markedspladserne og har over 155.000 downloads.

Sådan blev Balada malwaren opdaget

Den vietnamesiske forsker Truoc Phan opdagede den først. Den er kendt som CVE-2023-3169 og har en alvorlighedsgrad på 7.1 ud af 10, hvilket betragtes som Medium. Den blev delvist rettet i version 4.1 af tagDiv Composer og fuldt rettet i version 4.2.

Ifølge sikkerhedsfirmaet Sucuris forsker Denis Sinegubko udnytter trusselsaktører denne sårbare tværgående scripting (XSS) sårbarhed til at indsætte skadelig kode i websteder, hvilket omdirigerer besøgende til svigagtige eller kompromitterede websteder.

Disse websteder tilbyder falsk teknisk support, push-notifikationssvindel og svindel med lotterivindere for at lokke brugere. Push-notifikationssvindel tvinger brugere til at abonnere ved at vise falske captcha-dialoger.

Den mest bekymrende del af denne forskning er, at trusselsaktører allerede har kompromitteret tusindvis af WordPress-websteder. På NIST's Nationale Sårbarhedsdatabase er det rapporteret, at tagDiv Composer WordPress-pluginversioner før 4.2 ikke havde autorisation i en REST-rute og validerede eller undlod at undslippe nogle parametre, når de blev outputtet igen.

Dette tillader uautoriserede brugere at udføre angreb med lagret tværgående scripting. Ved at udnytte denne fejl kan en angriber indsætte skadelig kode på et websted.

Det er værd at bemærke, at denne sårbarhed opstod i en malware-kampagne kaldet Balada af Sucuri. Virksomheden har fulgt den siden 2017, hvor den først blev opdaget, og skønner, at malwaren siden 2017 har kompromitteret over en million websteder.

I september 2023 blev der set Balada-indsprøjtninger på mere end 17.000 websteder og 40.000 brugere. Over 9.000 af de nyopdagede infektioner skyldtes indsprøjtninger, der blev muliggjort af CVE-2023-3169.

Balada-gruppen foretrækker at opnå vedvarende kontrol over kompromitterede websteder ved at indsætte scripts, der opretter konti med administratorrettigheder. Når rigtige administratorer opdager det, fjerner de omdirigeringen, men beholder de falske admin-konti. Trusselsaktøren bruger administratorrettighederne til at oprette en ny række skadelige omdirigeringscripts.

Chris Hauk, Consumer Privacy Advocate hos Pixel Privacy, kommenterer på denne historie og siger: "Desværre er plugins og temaer foretrukne mål for hackere, der søger at udnytte svagheder i WordPress-økosystemet."

Chris advarer om, at "Denne fejl blev kun for nylig rettet i tagDiv Composer-pluginet, så der er sandsynligvis stadig tusindvis af WordPress-websteder, der bruger den gamle version af pluginet. WordPress-administratorer bør straks opdatere deres plugins og skabeloner for at beskytte sig mod dette hack," rådede han.

Det er nødvendigt for enhver webudvikler eller webstedsadministrator, der bruger WordPress-temaer som Newspaper og Newsmag, at inspicere webstedet og begivenhedslogfilerne for at opdage tegn på infektion. Udover at fjerne skadelige scripts skal de kontrollere for nyligt tilføjede admin-konti og bagdørskode. Dem, der stadig bruger den gamle version, skal straks skifte til TagDiv version 4.2 for at forhindre infektion.