Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Kampania Balada Injector infekuje strony WordPress wykorzystując popularne wtyczki
02 lutego 2024 | CERT Polska | #ostrzeżenie, #BaladaInjector, #WordPress, #PopupBuilder

Jeżeli zdarzyło Wam się, że po wejściu na stronę internetową zostaliście przekierowani na podejrzane witryny informujące o wygranej na loterii czy wymuszające włączenie powiadomień push, to prawdopodobnie było to spowodowane infekcją strony przez Balada Injector. Złośliwe przekierowanie najczęściej ujawnia się tylko za pierwszym razem i przy ponownych odwiedzinach otrzymujemy oczekiwaną zawartość strony. Takie przekierowanie to niestety objaw tego, że atakujący mają pełny dostęp do treści i możliwość zarządzania odwiedzaną witryną.

Szkodliwe oprogramowanie Balada Injector od 2017 roku systematycznie wykorzystuje luki w zabezpieczeniach wtyczek do systemu WordPress, aby uzyskać uprawnienia administratora na zaatakowanych stronach.

Wykorzystanie popularnej wtyczki Popup Builder

13 grudnia 2023 r. rozpoczęła się kolejna fala infekcji stron internetowych, tym razem z użyciem popularnej wtyczki Popup Builder w wersji do 4.2.3, w których wykryto podatność CVE-2023-6000. Wtyczka służy do tworzenia "wyskakujących okienek" z komunikatami. Po pomyślnym wykorzystaniu luka pozwala atakującym na wykonanie w panelu witryny dowolnej czynności, w tym zainstalowanie wtyczek i utworzenie nowych kont administratorów. Szczegóły techniczne dotyczące wstrzyknięcia i wykrywania obecności szkodliwego kodu zostały opisane na blogu Sucuri.

Rozesłaliśmy powiadomienia do administratorów stron internetowych zarejestrowanych w domenie .pl, które znalazły się w publicznie dostępnych wynikach skanowania pod kątem infekcji.

Jak zabezpieczyć stronę przed Balada Injector?

Zabezpieczenie strony internetowej opartej o WordPress powinno polegać przede wszystkim na systematycznym aktualizowaniu oprogramowania, w tym stosowanych wtyczek i ich usuwaniu, jeżeli nie są już wspierane. Jedyną metodą, która zapewnia wysoką skuteczność jest stosowanie wbudowanych mechanizmów automatycznej aktualizacji. Należy pamiętać także o stosowaniu uwierzytelniania dwuskładnikowego, unikalnych i silnych haseł, a także o ograniczaniu uprawnień użytkowników.

W przypadku wykrycia infekcji witryny, aby uniemożliwić złośliwe przekierowanie nie wystarczy usunięcie podatnej wtyczki. Należy uznać, że atakujący mógł posiadać pełny dostęp do plików strony. Należy prześledzić i usunąć wszelkie nieautoryzowane zmiany w kodzie strony, przejrzeć listę użytkowników oraz zmienić ich hasła. Najpewniejszym rozwiązaniem jest stworzenie witryny od nowa, bez kopiowania plików pomiędzy serwerami, lub wykorzystać kopię zapasową z czasu gdy wtyczka nie była jeszcze zainstalowana. Konieczne jest także przyjęcie założenia, że atakujący zdobyli wszystkie informacje znajdujące się na stronach i w połączonej bazie danych.

W odpowiedzi na ostatnią kampanię zespół CERT Polska dodał sprawdzenie, czy strona została zainfekowana oprogramowaniem Balada Injector wykorzystującą podatną wtyczkę Popup Builder, jako regułę do skanera Nuclei, z którego korzysta rozwijane przez nas narzędzie Artemis.

Udostępnij: