Falha do plugin TagDiv corrigida foi explorada para atacar milhares de sites WordPress

Uma vulnerabilidade do TagDiv Composer, um plugin construtor de páginas front-end do WordPress, foi explorada para atacar milhares de sites WordPress como parte da campanha de longa duração Balada Injector, apesar de a falha ter sido recentemente corrigida, alerta a Sucuri, empresa de segurança na web, da GoDaddy.

A vulnerabilidade explorada – rastreada como CVE-2023-3169 – foi descoberta por um investigador vietnamita, estando associada em particular aos temas premium Newspaper e Newsmag, que foram vendidos quase 140 mil vezes. A falha havia sido corrigida nas últimas semanas com o lançamento da versão 4.2 do TagDiv Composer.

A falha pode ser explorada para armazenamento de scripts entre sites (XSS) por um cibercriminoso não autenticado. Os detalhes da vulnerabilidade foram divulgados em meados de setembro e, pouco depois, a Sucuri começou a ver ataques assentes na exploração desta falha, atribuindo-os ao grupo de cibercriminosos Balada Injector, que existe há muitos anos.

Geralmente, os cibercriminosos atacam sites para redirecionar os seus visitantes para sites falsos de suporte técnico, loteria ou outros sites fraudulentos. Mais de um milhão de sites WordPress foram infetados como parte integrante da campanha Balada Injector desde 2017, estimou a Sucuri em abril.

Na totalidade dos ciberataques recentemente observados, 17 mil sites foram infetados pelo grupo Balada, estando 9 mil relacionados com a exploração da vulnerabilidade do plugin TagDiv, revela a Sucuri.

Com a exploração desta falha, os cibercriminosos pretendem injetar um código malicioso num local específico do banco de dados WordPress, assegurando que este é espalhado por todas as páginas públicas do site alvo. Após o acesso inicial a um site, os invasores carregam backdoors, adicionam plugins maliciosos e criam contas de administrador que permitem a expansão dos seus recursos e um acesso persistente.

“Observámos um ciclo rápido de modificações nos seus scripts injetados juntamente com novas técnicas e abordagens. Vimos injeções aleatórias e tipos de ofuscação, uso simultâneo de vários domínios e subdomínios, abuso de CloudFlare e múltiplas abordagens para atacar os administradores dos sites WordPress infetados”, explica a Sucuri.

Numa publicação no seu blog, a Sucuri forneceu detalhes técnicos e indicadores de comprometimento (IoCs) que ajudam a determinar se um site WordPress foi alvo da campanha Balada Injector, tendo partilhado também recomendações para a proteção de sites contra estes ciberataques.