Новая вредоносная кампания использует серьезную брешь в системе безопасности плагина Popup Builder для WordPress для внедрения вредоносного кода JavaScript.
По данным Sucuri, кампания заразила более 3900 сайтов за последние три недели.
"Эти атаки организованы с доменов возрастом менее месяца, с регистрациями, датированными 12 февраля 2024 года", - сказал исследователь безопасности Пуджа Шривастава в отчете от 7 марта.
Последовательности заражений включают использование CVE-2023-6000, уязвимости в системе безопасности Popup Builder, которая может быть использована для создания мошеннических администраторов и установки произвольных плагинов.
Недостаток был использован в рамках кампании Balada Injector ранее в январе этого года, в результате чего было скомпрометировано не менее 7000 сайтов.
Последняя серия атак приводит к внедрению вредоносного кода, который выпускается в двух различных вариантах и предназначен для перенаправления посетителей сайта на другие сайты, такие как фишинговые и мошеннические страницы.
Владельцам сайтов WordPress рекомендуется поддерживать свои плагины в актуальном состоянии, а также сканировать свои сайты на наличие любого подозрительного кода или пользователей и выполнять соответствующую очистку.
"Эта новая вредоносная кампания служит суровым напоминанием о рисках, связанных с отсутствием исправлений и актуальности программного обеспечения вашего веб-сайта", - сказал Шривастава.
Разработка началась после того, как компания Wordfence, занимающаяся безопасностью WordPress, раскрыла серьезную ошибку в другом плагине, известном как Ultimate Member, который можно использовать для внедрения вредоносных веб-скриптов.
Ошибка межсайтового скриптинга (XSS), отслеживаемая как CVE-2024-2123 (оценка CVSS: 7.2), влияет на все версии плагина, включая версию 2.8.3 и ранее. Она была исправлена в версии 2.8.4, выпущенной 6 марта 2024 года.
Ошибка связана с недостаточной очисткой входных данных и экранированием выходных данных, что позволяет злоумышленникам, не прошедшим проверку подлинности, внедрять произвольные веб-скрипты на страницы, которые будут выполняться каждый раз, когда пользователь посещает их.
"В сочетании с тем фактом, что уязвимостью могут воспользоваться злоумышленники, не имеющие прав доступа к уязвимому сайту, это означает, что существует высокая вероятность того, что злоумышленники, не прошедшие проверку подлинности, могут получить административный доступ пользователей к сайтам, на которых запущена уязвимая версия плагина, при успешном использовании", - сказали в Wordfence.
Стоит отметить, что разработчики плагина устранили аналогичный недостаток (CVE-2024-1071, оценка CVSS: 9,8) в версии 2.8.3, выпущенной 19 февраля.
Это также следует за обнаружением уязвимости при загрузке произвольных файлов в теме Avada WordPress (CVE-2024-1468, оценка CVSS: 8,8) и, возможно, выполняет вредоносный код удаленно. Проблема решена в версии 7.11.5.
"Это позволяет аутентифицированным злоумышленникам с доступом уровня contributor и выше загружать произвольные файлы на сервер зараженного сайта, что может сделать возможным удаленное выполнение кода", - сказали в Wordfence.
