Das verwundbare tagDiv-Plugin, bekannt als tagDiv Composer, ist eine obligatorische Voraussetzung für die Verwendung von zwei WordPress-Themen: „Newspaper“ und „Newsmag“. Die Themen sind über die Theme Forest- und Envato-Märkte verfügbar und wurden mehr als 155.000 Mal heruntergeladen.
Unter der Bezeichnung CVE-2023-3169 handelt es sich bei der Schwachstelle um einen sogenannten Cross-Site-Scripting (XSS)-Fehler, der es Hackern ermöglicht, bösartigen Code in Webseiten einzufügen. Die Schwachstelle wurde vom vietnamesischen Forscher Truoc Phan entdeckt und hat eine Schweregradbewertung von 7,1 von 10 möglichen Punkten. Sie wurde teilweise in der tagDiv Composer-Version 4.1 behoben und in Version 4.2 vollständig gepatcht.
Laut einem von Sicherheitsforscher Denis Sinegubko verfassten Beitrag nutzen Bedrohungsakteure die Schwachstelle aus, um Webskripte einzufügen, die Besucher auf verschiedene betrügerische Websites umleiten. Die Umleitungen führen zu Websites, die gefälschten technischen Support, betrügerischen Lotteriegewinnen und Push-Benachrichtigungsbetrug bewerben, wobei letzterer Besucher dazu verleitet, sich für Push-Benachrichtigungen anzumelden, indem gefälschte Captcha-Dialoge angezeigt werden.
Sas Sicherheitsunternehmen für das Sinegubko arbeitet, verfolgt die Malware-Kampagne namens Balada seit 2017 und schätzt, dass Balada in den letzten sechs Jahren mehr als 1 Million Websites kompromittiert hat. Im vergangenen Monat wurden mehr als 17.000 Balada-Injektionen auf Websites festgestellt, fast doppelt so viele wie im Vormonat. Mehr als 9.000 der neuen Infektionen wurden durch Ausnutzen von CVE-2023-3169 ermöglicht.
Sinegubko schrieb: „Wir haben einen schnellen Zyklus von Modifikationen an ihren betroffenen Skripten neben neuen Techniken und Ansätzen beobachtet. Wir sahen zufällige Verschleierungstypen, die gleichzeitige Verwendung mehrerer Domänen und Subdomänen, den Missbrauch von CloudFlare und verschiedene Ansätze, um Administratoren infizierter WordPress-Websites anzugreifen.“
Auch der September war für Tausende von Nutzern des tagDiv „Newspaper“-Themas eine große Herausforderung. Die Balada-Injector-Malware-Kampagne führte eine Reihe von Angriffen auf die Schwachstelle im tagDiv Composer-Plugin und auf Blog-Administratoren bereits infizierter Websites durch.
Sucuri hat mindestens sechs Wellen verfolgt, die die Schwachstelle ausnutzen. Obwohl jede Welle unterschiedlich ist, enthalten alle ein charakteristisches Skript, das in diesen Tags eingefügt ist:
Der Balada-Bedrohungsakteur hat immer versucht, eine dauerhafte Kontrolle über die von ihm kompromittierten Websites zu erlangen. Der häufigste Weg, dies zu tun, besteht darin, Skripte einzufügen, die Konten mit Administratorrechten erstellen. Wenn echte Administratoren die Umleitungs-Skripte erkennen und entfernen, aber die gefälschten Administratorkonten bestehen lassen, verwendet der Bedrohungsakteur seine Administrationskontrolle, um eine neue Reihe bösartiger Umleitungs-Skripte hinzuzufügen.
Der Forscher schrieb: „Die Balada-Injector-Hacker zielen immer darauf ab, eine dauerhafte Kontrolle über kompromittierte Websites zu erlangen, indem sie Hintertüren hochladen, bösartige Plugins hinzufügen und falsche Blog-Administratoren erstellen. In diesem Fall ermöglicht die Schwachstelle [CVE-2023-3169] ihnen jedoch nicht, dieses Ziel leicht zu erreichen. Das hat Balada jedoch nie daran gehindert, trotzdem zu versuchen, die Websites mit gespeicherten XSS-Schwachstellen vollständig zu übernehmen.“
Jeder, der eine Website verwaltet, die die WordPress-Themen „Newspaper“ oder „Newsmag“ verwendet, sollte sowohl ihre Website als auch die Ereignisprotokolle sorgfältig auf Anzeichen einer Infektion überprüfen, die in dem Sucuri-Beitrag aufgeführten Anzeichen für Kompromittierungen beachten. Wie bereits erwähnt, versuchen die Bedrohungsakteure von Balada, dauerhaften Zugriff auf die Websites zu erlangen, die sie kompromittieren. Neben dem Entfernen von bösartigen Skripten ist es auch wichtig, nach Backdoor-Code und der Hinzufügung von Admin-Konten zu suchen.