بیش از 7100 سایت وردپرس که نسخه آسیبپذیر افزونه Popup Builder را نصب نمودهاند در معرض خطر بدافزار Balada Injector قرار دارند. این حملات ناشی از نقص موجود در نسخههای قبل از 4.2.3 افزونه Popup Builder (با بیش از 200000 مرتبه نصب فعال) میباشد. این آسیبپذیری با شناسه CVE-2023-6000 و شدت بالا (8.8) تزریق جاوا اسکریپت Stored XSS را برای مهاجم احراز هویتنشده فراهم میسازد و وی میتواند هر اقدامی را که مدیر سایت (logged‑in administrator) اجازه انجام آن را دارد، انجام دهد. درج یک فایل جاوا اسکریپت مخرب که در specialcraftbox[.]com میزبانی میشود، میتواند منجر به کنترل وبسایت و بارگیری جاوااسکریپت اضافی به منظور تغییر مسیرهای مخرب شود. از خطرات موجود درBalada Injector ، بارگذاری backdoorهای نصب افزونههای مخرب، ایجاد کاربران با دسترسی Administrator جدید و کنترل دائمی بر روی وبسایتهای در معرض خطر است.
اگر مرورگر administrators اسکریپتی را بارگیری کند که بتواند فعالیت مدیر را شبیهسازی کند، هر اقدامی را که مدیر از طریق رابط مدیریت وردپرس (WordPress admin interface) قادر به انجام آن باشد، مهاجم میتواند آن را انجام دهد. همچنین مهاجم میتواند سطح دسترسی خود را ارتقاء دهد و با نصب و فعال کردن یک افزونه backdoor (wp-felody.php یا Wp Felody)، پیلود(payload)second-stage را برای دامنه مذکور اجرا کند. پیلود، backdoor دیگری، بهنام "sasas" میباشد که پس از ذخیره شدن در دایرکتوری که فایلهای موقت در آن ذخیره میشوند، اجرا شده و سپس از دیسک حذف میشود.
در نهایت مهاجم با بررسی سه سطح بالاتر از دایرکتوری فعلی، بهدنبال دایرکتوری ریشه سایت فعلی و سایر سایتهایی موجود بر روی سرور است. سپس در دایرکتوریهای ریشه سایت شناسایی شده، با تغییر فایل wp-blog-header.php ، بدافزار جاوا اسکریپت Balada را که در ابتدا از طریق آسیبپذیری Popup Builder تزریق شده بود، تزریق میکند.
محصولات تحت تأثیر
این آسیبپذیری در نسخههای قبل از 4.2.3 افزونه Popup Builder وجود دارد.
توصیههای امنیتی
این نقص امنیتی در نسخه 4.2.3 افزونه Popup Builder رفع شده است.
منابع خبر:
[1]https://thehackernews.com/2024/01/balada-injector-infects-over-7100.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-6000
[3] https://wpscan.com/blog/stored-xss-fixed-in-popup-builder-4-2-3
- 34