Tausende Websites, auf denen das Content-Management-System WordPress läuft, wurden von einem produktiven Bedrohungsakteur gehackt, der eine kürzlich gepatchte Schwachstelle in einem weit verbreiteten Plugin ausnutzte.
Das anfällige Plugin tagDiv Composer ist eine zwingende Voraussetzung für die Verwendung von zwei WordPress-Themes: Newspaper und Newsmag. Die Themes sind über die Theme Forest- und Envato-Marktplätze erhältlich und wurden mehr als 155.000 Mal heruntergeladen.
Bei der Schwachstelle mit der Bezeichnung CVE-2023-3169 handelt es sich um einen sogenannten Cross-Site-Scripting (XSS)-Fehler, der es Hackern ermöglicht, bösartigen Code in Webseiten einzuschleusen. Die vom vietnamesischen Forscher Truoc Phan entdeckte Schwachstelle hat einen Schweregrad von 7,1 von 10 möglichen. Sie wurde teilweise in tagDiv Composer Version 4.1 behoben und in 4.2 vollständig gepatcht.
Laut einem Beitrag des Sicherheitsforschers Denis Sinegubko nutzen Bedrohungsakteure die Sicherheitslücke aus, um Webskripte einzuschleusen, die Besucher auf verschiedene Betrugsseiten umleiten. Die Weiterleitungen führen zu Websites, die gefälschten technischen Support, betrügerische Lotteriegewinne und Push-Benachrichtigungsbetrügereien verbreiten. Letztere verleiten Besucher dazu, Push-Benachrichtigungen zu abonnieren, indem sie gefälschte Captcha-Dialoge anzeigen.
Sucuri, das Sicherheitsunternehmen, für das Sinegubko arbeitet, verfolgt die Malware-Kampagne seit 2017 und gibt ihr den Namen Balada. Sucuri schätzt, dass Balada in den letzten sechs Jahren mehr als eine Million Websites kompromittiert hat. Letzten Monat entdeckte Sucuri Balada-Injektionen an mehr als 17.000 Standorten, fast doppelt so viele wie im Monat zuvor. Mehr als 9.000 der Neuinfektionen waren das Ergebnis von Injektionen, die durch die Ausnutzung von CVE-2023-3169 ermöglicht wurden.
Sinegubko schrieb:
Wir beobachteten einen schnellen Zyklus von Änderungen an den injizierten Skripten sowie neue Techniken und Ansätze. Wir sahen zufällige Einschleusungen und Verschleierungsarten, die gleichzeitige Nutzung mehrerer Domänen und Subdomänen, den Missbrauch von CloudFlare und mehrere Ansätze, um Administratoren infizierter WordPress-Sites anzugreifen.
Der September war auch für Tausende von Benutzern des tagDiv-Zeitungsthemas ein sehr herausfordernder Monat. Die Balada Injector-Malware-Kampagne führte eine Reihe von Angriffen durch, die sowohl auf die Schwachstelle im tagDiv Composer-Plugin als auch auf Blog-Administratoren bereits infizierter Websites abzielten.
Sucuri hat nicht weniger als sechs Injektionswellen verfolgt, die die Schwachstelle ausnutzen. Während jede Welle unterschiedlich ist, enthalten alle ein verräterisches Skript, das in diese Tags eingefügt wird:
<style id="tdw-css-placeholder"></style><script>...malicious injection…</script><style></style>
Die bösartige Injektion verwendet verschleierten Code, um die Erkennung zu erschweren. Es befindet sich in der von WordPress-Sites verwendeten Datenbank, insbesondere in der Option „td_live_css_local_storage“ der Tabelle wp_options.
Der Bedrohungsakteur Balada hat stets versucht, dauerhafte Kontrolle über die von ihm kompromittierten Websites zu erlangen. Dies geschieht am häufigsten durch das Einfügen von Skripten, die Konten mit Administratorrechten erstellen. Wenn echte Administratoren die Umleitungsskripte erkennen und entfernen, aber zulassen, dass die gefälschten Administratorkonten bestehen bleiben, nutzt der Bedrohungsakteur seine administrative Kontrolle, um einen neuen Satz bösartiger Umleitungsskripte hinzuzufügen.
Der Forscher schrieb:
Hacker von Balada Injector streben immer danach, die kompromittierten Websites dauerhaft zu kontrollieren, indem sie Hintertüren hochladen, bösartige Plugins hinzufügen und betrügerische Blog-Administratoren erstellen. In diesem Fall ist die [CVE-2023-3169] Die Verletzlichkeit erlaubt es ihnen nicht, dieses Ziel einfach zu erreichen. Dies hinderte Balada jedoch nicht daran, die Seiten mit hinterlegten XSS-Schwachstellen vollständig zu übernehmen.
Balada ist seit langem dafür bekannt, bösartige Skripte einzuschleusen, die auf angemeldete Site-Administratoren abzielen. Die Idee dahinter ist, dass, wenn sich ein Blog-Administrator bei einer Website anmeldet, sein Browser Cookies enthält, die es ihm ermöglichen, alle seine Verwaltungsaufgaben zu erledigen, ohne sich auf jeder neuen Seite authentifizieren zu müssen. Wenn ihr Browser also ein Skript lädt, das versucht, Administratoraktivitäten zu emulieren, kann er fast alles tun, was über die WordPress-Administratoroberfläche möglich ist.
Jeder, der eine Website verwaltet, die die WordPress-Themes „Newspaper“ oder „Newsmag“ verwendet, sollte sowohl seine Website als auch seine Ereignisprotokolle sorgfältig auf Anzeichen einer Infektion untersuchen und dabei die vielen im Sucuri-Beitrag enthaltenen Indikatoren für eine Gefährdung nutzen. Wie bereits erwähnt, versuchen die Balada-Bedrohungsakteure, sich dauerhaften Zugriff auf die von ihnen kompromittierten Websites zu verschaffen. Neben der Entfernung aller hinzugefügten schädlichen Skripte ist es auch wichtig, nach Backdoor-Code zu suchen und etwaige Administratorkonten hinzuzufügen.
