В’єтнамський експерт із кібербезпеки Труок Фан виявив уразливість плагіна tagDiv Composer для CMS WordPress. Уразливості присвоєно номер CVE-2023-3169, а її експлуатація дала змогу розмістити шкідливий код на більш ніж 9000 сайтів.
Плагін tagDiv Composer є обов’язковим для встановлення тем Newspaper і Newsmag для WordPress – їх продають на популярних майданчиках Theme Forest і Envato, а завантажили їх уже понад 155 000 разів. XSS-вразливість CVE-2023-3169 дає змогу зловмисникам впроваджувати шкідливий код у веб-сторінки. Їй присвоєно рейтинг 7,1 із 10. Розробники tagDiv Composer частково закрили її з випуском версії плагіна 4.1, а повністю вона була ліквідована у версії 4.2.
На практиці зловмисники експлуатують цю вразливість для впровадження скриптів, які перенаправляють користувачів на інші сайти з імітацією інтерфейсу технічної підтримки, повідомленнями про виграш у лотерею і закликами підписатися на сумнівні push-повідомлення. Атаки, пов’язані з уразливістю плагіна tagDiv Composer, є частиною великої кампанії шкідливого ПЗ Balada – її відстежують фахівці з кібербезпеки компанії Sucuri ще з 2017 року. За останні шість років у рамках кампанії Balada було зламано понад 1 млн сайтів, тільки у вересні зафіксовано понад 17 тис. інцидентів, а через вразливість CVE-2023-3169 шкідливий код було розміщено більш ніж на 9 тис. сайтів.
Метою атаки Balada є отримання контролю над скомпрометованим сайтом. Найпоширеніший спосіб – впровадження шкідливого коду для створення облікового запису з правами адміністратора. Справжнім адміністраторам у разі виявлення такого злому рекомендується повністю знищити всі ознаки шкідливої активності: найчастіше це шкідливий код і нові облікові записи з адміністраторськими правами в списку користувачів. Якщо видалити тільки шкідливий код, але залишити на сайті нелегітимного адміністратора, шкідливий код повернеться в новому вигляді. Наразі особливо рекомендується перевірити ознаки злому власникам сайтів на WordPress зі встановленими темами Newspaper і Newsmag.
Читайте також: