O especialista vietnamita em segurança cibernética Truoc Phan descobriu uma vulnerabilidade no plugin tagDiv Composer para CMS WordPress. A vulnerabilidade recebeu o número CVE-2023-3169 e sua exploração permitiu que códigos maliciosos fossem colocados em mais de 9.000 sites.
Fonte da imagem: Pexels / pixabay.com
O plugin tagDiv Composer é essencial para instalar os temas Newspaper e Newsmag para WprdPress – eles são vendidos nos sites populares Theme Forest e Envato e já foram baixados mais de 155.000 vezes. A vulnerabilidade XSS CVE-2023-3169 permite que invasores injetem código malicioso em páginas da web. Foi dada uma classificação de 7,1 em 10. Os desenvolvedores do tagDiv Composer o fecharam parcialmente com o lançamento do plugin versão 4.1, e ele foi completamente eliminado na versão 4.2.
Na prática, os invasores exploram essa vulnerabilidade para injetar scripts que redirecionam os usuários para outros sites com uma interface de suporte técnico simulada, mensagens sobre ganhar na loteria e chamadas para assinar notificações push duvidosas. Os ataques relacionados à vulnerabilidade do plugin tagDiv Composer fazem parte de uma campanha maior de malware Balada que tem sido monitorada por especialistas em segurança cibernética da Sucuri desde 2017. Nos últimos seis anos, mais de 1 milhão de websites foram invadidos como parte da campanha Balada; Só em setembro foram registrados mais de 17 mil incidentes e, devido à vulnerabilidade CVE-2023-3169, códigos maliciosos foram postados em mais de 9 mil sites.
O objetivo do ataque Balada é obter o controle de um site comprometido. O método mais comum é injetar código malicioso para criar uma conta com direitos de administrador. Os administradores reais que detectam tal hack são aconselhados a destruir completamente todos os sinais de atividade maliciosa: na maioria das vezes, trata-se de código malicioso e novas contas com direitos de administrador na lista de usuários. Se você remover apenas o código malicioso, mas deixar um administrador ilegítimo no site, o código malicioso retornará em uma nova forma. Agora é especialmente recomendado verificar sinais de hacking para proprietários de sites WordPress com os temas Newspaper e Newsmag instalados.