Тысячи сайтов WordPress были взломаны из-за уязвимости плагина tagDiv

Множество сайтов на WordPress были взломаны хакером, который воспользовался недавно исправленной уязвимостью в широко используемом плагине.

Тысячи сайтов WordPress были взломаны из-за уязвимости плагина tagDiv. Фото: СС0

Уязвимый плагин tagDiv Composer, является обязательным требованием для использования двух тем WordPress: Newspaper и Newsmag. Темы доступны на торговых площадках Theme Forest и Envato, их скачали более 155 тыс. раз.

Уязвимость CVE-2023-3169 - это недостаток межсайтового скриптинга (XSS), который позволяет хакерам внедрять вредоносный код в веб-страницы. Она имеет уровень серьезности 7,1 из 10 возможных. Она была частично исправлена в tagDiv Composer версии 4.1 и полностью исправлена в 4.2.

Согласно сообщению исследователя безопасности Дениса Синегубко, злоумышленники используют уязвимость для внедрения веб-скриптов, которые перенаправляют посетителей на различные мошеннические площадки.

Sucuri, охранная фирма, в которой работает Синегубко, отслеживает кампанию вредоносного ПО с 2017 года и назвала ее Balada. По оценкам специалистов, организаторы кампании взломали более 1 млн сайтов. В прошлом месяце Sucuri обнаружила инъекции Balada на более чем 17 тыс. сайтах, что почти вдвое больше, чем месяцем ранее. Более 9 тыс. новых заражений стали результатом инъекций, ставших возможными благодаря использованию CVE-2023-3169.

Из сообщения Дениса Синегубко:

«Мы наблюдали быстрый цикл модификаций внедренных ими скриптов наряду с новыми методами и подходами. Мы видели рандомизированные инъекции и типы обфускации, одновременное использование нескольких доменов и поддоменов, злоупотребление CloudFlare и различные подходы к атаке на администраторов зараженных сайтов WordPress.»

Любой администратор сайта, использующего темы WordPress Newspaper или Newsmag, должен тщательно проверить свой сайт и журналы событий на наличие признаков заражения.

Злоумышленники, организовавшие Balada, пытаются получить постоянный доступ к сайтам, которые они компрометируют. Помимо удаления всех добавленных вредоносных сценариев, также важно проверить наличие бэкдор-кода и добавление любых учетных записей администратора.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.