Popup Builder eklentisinin savunmasız bir sürümünü kullanan 6.700'den fazla WordPress web sitesi, Aralık ortasında başlatılan bir kampanyaya Balada enjektör kötü amaçlı yazılımlarla enfekte olmuştur.
Başlangıçta Dr. Web'deki araştırmacılar tarafından WordPress temalarında ve eklentilerde bilinen kusurlardan yararlanan koordineli saldırı dalgalarını gözlemleyen, daha sonra Balada enjektörünün 2017'den bu yana 17.000'den fazla WordPress sitesini tehlikeye atan büyük bir operasyon olduğu keşfedildi.
Saldırılar, tehlikeye atılan sitelerin ziyaretçilerini sahte destek sayfalarına, piyango sitelerine ve bildirim dolandırıcılıklarına yönlendiren bir arka kapı enjekte ediyor.
En son Balada Enjektör Kampanyası, WPSCAN'ın CVE-2023-6000'i bildirdikten iki gün sonra başlatılan en son Balada Enjektör Kampanyası, 4.2.3 ve daha büyük bir pop-up oluşturucu sürümlerinde bir site arası komut dosyası (XSS) kusuru hakkında rapor verdi.
Popup Builder, pazarlama, bilgilendirici ve işlevsel amaçlar için özel açılır pencereler oluşturmak için 200.000 sitede kullanılıyor.
Web sitesi güvenlik şirketi Sucuri, Balada enjektörünün, açılır oluşturucudaki "SGPBWillopen" etkinliğini kaçıran ve popup başlatıldığında sitenin veritabanında kötü amaçlı JavaScript kodunu yürüten kusur için hızlı bir istismar eklediğini bildirdi.
Sucuri, saldırganların aynı JavaScript arka kapısını enjekte etmek için WP-Blog-Header.php dosyasını değiştirerek ikincil bir enfeksiyon yöntemi kullandığını gözlemledi.
Daha sonra, tehdit oyuncusu, 'wp-felody.php' adlı bir eklenti olarak gizlenmiş ana arka kapıyı enjekte etmek için çeşitli komut dosyası setlerini yüklemelerine izin veren yönetici ile ilgili çerezleri kontrol etti.
Araştırmacılar, enfeksiyonun ilk adımda asla durmadığını ve ana arka kapıyı dikmenin her zaman ilk ihlali izlediğini bildiriyor.
'Felody' arka kapısının işlevselliği, keyfi PHP kodu yürütme, dosya yükleme ve yürütme, saldırganlarla iletişim ve ek yükler getirmeyi içerir.
Şu anda, Balada Enjektör Kampanyası'nda tehlikeye atılan web sitelerinin sayısı 6.700 web sitesine ulaştı.
Sucuri'nin bu saldırılar için kullanılan alanları analizi, kayıtlarında, bulutflare güvenlik duvarlarının kullanımını da içeren saldırıların gerçek kökenini maskeleme çabasını gösteren bir model ortaya koymaktadır.
Güvenlik araştırmacısı Randy McEoin'e göre, bu kampanyadaki yönlendirme, bildirim dolandırıcılarını zorlamaya işaret ediyor.
Balada enjeksiyon saldırılarına karşı savunmak, WordPress site yöneticilerinin temaları ve eklentileri en son sürümlerine güncellemelerini gerektirir, artık web sitesinde desteklenmeyen veya ihtiyaç duyulmayan ürünleri kaldırır.
Bir WordPress sitesinde olabildiğince küçük bir dizi etkin eklenti, saldırı yüzeyini azaltır ve otomatik komut dosyalarından gelen ihlal riskini en aza indirir.
Korunmasız eklenti aracılığıyla devralma riskinde 150k'den fazla WordPress sitesi
WordPress, Web sitelerini açığa çıkaran pop zincirini RCE saldırılarına düzeltiyor
Sahte WordPress Güvenlik Danışmanlığı Backdoor Eklentisini İttirir
WP En Hızlı Önbellek Eklentisi Hatası Saldırılara 600K WordPress Sitesini ortaya çıkarır
Binbaşı T-Mobile kesintisi hesap erişimini düşürür, mobil uygulama
Kaynak: Bleeping Computer