Balada Injector, a WordPress oldalak rémálma

Több mint 1 millió WordPress weboldal fertőződött meg egy kampány során. A támadók bővítmények és témák sebezhetőségeit használták ki arra, hogy rosszindulatú kódokat juttassanak a weboldalakra.

A Sucuri kutatása szerint a Balada Injector nevű kampány legalább 2017 óta fertőzi rosszindulatú szoftverekkel az oldalakat. Az injektálás után a látogatók átirányításra kerülnek különféle csaló oldalakra, miközben a háttérben a befecskendezett szkriptek olyan fájlokat keresnek, amelyek bármilyen érzékeny vagy potenciálisan hasznos információt tartalmazhatnak (különböző log file-ok, adatbázis adminisztrációs eszközök, rendszergazdai hitelesítő adatok stb.). Emellett backdoorokat is létrehoznak a perzisztencia kialakítása végett. A Sucuri kutatói elmondták, hogy csak 2022-ben több mint 141 000 alkalommal észlelték ezt a rosszindulatú szoftvert, és a blokkolt webhelyek több mint 67%-a ismert Balada Injector tartományokból származó szkripteket töltött be.

A kampány néhány ismertetőjegye:

  • többszörös backdoorok létrehozása;
  • a domainek rotációs listájának használata, ahol a rosszindulatú szkriptek véletlenszerű aldomaineken vannak elhelyezve;
  • spamszerű átirányítások, illetve a WordPress bővítmények és témák biztonsági réseinek hatékony kihasználása.

“A WordPress témák és bővítmények sérülékenységei lehetővé tehetik a támadó számára, hogy kódot juttasson be, vagy jogosulatlan hozzáférést szerezzen a weboldalhoz.” – áll a Sucuri elemzésében. A régebbi sebezhetőségek is részét képezik a támadásoknak, amelyek közül van néhány, amely hónapokig, vagy akár évekig használatban maradnak.

Az iThemes, a plugin ökoszisztéma hibáit heti rendszerességgel nyomon követő cég 37 újonnan felfedett és javított sebezhetőséget számolt össze a március 15-i héten, amelyek több mint 6 millió WordPress oldalt érintettek. 27 olyan plugin sebezhetőséget is összeszámoltak, amelyekhez még nem áll rendelkezésre javítás. A cég 2022-ben összesen 1425 sebezhetőséget azonosított. Az iThemes jelentésében azt is megjegyezte, hogy a sebezhető WordPress bővítmények és témák a WordPress oldalak feltörésének első számú oka.

“A WordPress mindenképpen rendszeres frissítésre szorul, még inkább akkor, ha olyan weboldalad van, amely sok bővítményt és harmadik féltől származó kódot tartalmaz.” – jegyzi meg Casey Ellis, a Bugcrowd bug bounty platform alapítója és CTO-ja.

A Balada Injector és más WordPress sérülékenységek elleni védelem érdekében a szervezeteknek:

  • biztosítaniuk kell, hogy a weboldaluk összes szoftvere naprakész legyen;
  • el kell távolítaniuk a nem használt bővítményeket és témákat;
  • webalkalmazási tűzfalat kell használniuk;
  • és elengedhetetlen a munkavállalók oktatása az át nem vizsgált modulok telepítésének veszélyeiről.

(darkreading.com)