Több mint 1 millió WordPress weboldal fertőződött meg egy kampány során. A támadók bővítmények és témák sebezhetőségeit használták ki arra, hogy rosszindulatú kódokat juttassanak a weboldalakra.
A Sucuri kutatása szerint a Balada Injector nevű kampány legalább 2017 óta fertőzi rosszindulatú szoftverekkel az oldalakat. Az injektálás után a látogatók átirányításra kerülnek különféle csaló oldalakra, miközben a háttérben a befecskendezett szkriptek olyan fájlokat keresnek, amelyek bármilyen érzékeny vagy potenciálisan hasznos információt tartalmazhatnak (különböző log file-ok, adatbázis adminisztrációs eszközök, rendszergazdai hitelesítő adatok stb.). Emellett backdoorokat is létrehoznak a perzisztencia kialakítása végett. A Sucuri kutatói elmondták, hogy csak 2022-ben több mint 141 000 alkalommal észlelték ezt a rosszindulatú szoftvert, és a blokkolt webhelyek több mint 67%-a ismert Balada Injector tartományokból származó szkripteket töltött be.
A kampány néhány ismertetőjegye:
- többszörös backdoorok létrehozása;
- a domainek rotációs listájának használata, ahol a rosszindulatú szkriptek véletlenszerű aldomaineken vannak elhelyezve;
- spamszerű átirányítások, illetve a WordPress bővítmények és témák biztonsági réseinek hatékony kihasználása.
“A WordPress témák és bővítmények sérülékenységei lehetővé tehetik a támadó számára, hogy kódot juttasson be, vagy jogosulatlan hozzáférést szerezzen a weboldalhoz.” – áll a Sucuri elemzésében. A régebbi sebezhetőségek is részét képezik a támadásoknak, amelyek közül van néhány, amely hónapokig, vagy akár évekig használatban maradnak.
Az iThemes, a plugin ökoszisztéma hibáit heti rendszerességgel nyomon követő cég 37 újonnan felfedett és javított sebezhetőséget számolt össze a március 15-i héten, amelyek több mint 6 millió WordPress oldalt érintettek. 27 olyan plugin sebezhetőséget is összeszámoltak, amelyekhez még nem áll rendelkezésre javítás. A cég 2022-ben összesen 1425 sebezhetőséget azonosított. Az iThemes jelentésében azt is megjegyezte, hogy a sebezhető WordPress bővítmények és témák a WordPress oldalak feltörésének első számú oka.
“A WordPress mindenképpen rendszeres frissítésre szorul, még inkább akkor, ha olyan weboldalad van, amely sok bővítményt és harmadik féltől származó kódot tartalmaz.” – jegyzi meg Casey Ellis, a Bugcrowd bug bounty platform alapítója és CTO-ja.
A Balada Injector és más WordPress sérülékenységek elleni védelem érdekében a szervezeteknek:
- biztosítaniuk kell, hogy a weboldaluk összes szoftvere naprakész legyen;
- el kell távolítaniuk a nem használt bővítményeket és témákat;
- webalkalmazási tűzfalat kell használniuk;
- és elengedhetetlen a munkavállalók oktatása az át nem vizsgált modulok telepítésének veszélyeiről.
