Ostrzeżenia Zgłoś incydent
Ostrzeżenia Zgłoś incydent

Kampania Balada Injector infekuje strony WordPress wykorzystując popularne wtyczki

Jeżeli zdarzyło Wam się, że po wejściu na stronę internetową zostaliście przekierowani na podejrzane witryny informujące o wygranej na loterii czy wymuszające włączenie powiadomień push, to prawdopodobnie było to spowodowane infekcją strony przez Balada Injector. Złośliwe przekierowanie najczęściej ujawnia się tylko za pierwszym razem i przy ponownych odwiedzinach otrzymujemy oczekiwaną zawartość strony. Takie przekierowanie to niestety objaw tego, że atakujący mają pełny dostęp do treści i możliwość zarządzania odwiedzaną witryną.

Szkodliwe oprogramowanie Balada Injector od 2017 roku systematycznie wykorzystuje luki w zabezpieczeniach wtyczek do systemu WordPress, aby uzyskać uprawnienia administratora na zaatakowanych stronach.

Wykorzystanie popularnej wtyczki Popup Builder

13 grudnia 2023 r. rozpoczęła się kolejna fala infekcji stron internetowych, tym razem z użyciem popularnej wtyczki Popup Builder w wersji do 4.2.3, w których wykryto podatność CVE-2023-6000. Wtyczka służy do tworzenia "wyskakujących okienek" z komunikatami. Po pomyślnym wykorzystaniu luka pozwala atakującym na wykonanie w panelu witryny dowolnej czynności, w tym zainstalowanie wtyczek i utworzenie nowych kont administratorów. Szczegóły techniczne dotyczące wstrzyknięcia i wykrywania obecności szkodliwego kodu zostały opisane na blogu Sucuri.

Rozesłaliśmy powiadomienia do administratorów stron internetowych zarejestrowanych w domenie .pl, które znalazły się w publicznie dostępnych wynikach skanowania pod kątem infekcji.

Jak zabezpieczyć stronę przed Balada Injector?

Zabezpieczenie strony internetowej opartej o WordPress powinno polegać przede wszystkim na systematycznym aktualizowaniu oprogramowania, w tym stosowanych wtyczek i ich usuwaniu, jeżeli nie są już wspierane. Jedyną metodą, która zapewnia wysoką skuteczność jest stosowanie wbudowanych mechanizmów automatycznej aktualizacji. Należy pamiętać także o stosowaniu uwierzytelniania dwuskładnikowego, unikalnych i silnych haseł, a także o ograniczaniu uprawnień użytkowników.

W przypadku wykrycia infekcji witryny, aby uniemożliwić złośliwe przekierowanie nie wystarczy usunięcie podatnej wtyczki. Należy uznać, że atakujący mógł posiadać pełny dostęp do plików strony. Należy prześledzić i usunąć wszelkie nieautoryzowane zmiany w kodzie strony, przejrzeć listę użytkowników oraz zmienić ich hasła. Najpewniejszym rozwiązaniem jest stworzenie witryny od nowa, bez kopiowania plików pomiędzy serwerami, lub wykorzystać kopię zapasową z czasu gdy wtyczka nie była jeszcze zainstalowana. Konieczne jest także przyjęcie założenia, że atakujący zdobyli wszystkie informacje znajdujące się na stronach i w połączonej bazie danych.

W odpowiedzi na ostatnią kampanię zespół CERT Polska dodał sprawdzenie, czy strona została zainfekowana oprogramowaniem Balada Injector wykorzystującą podatną wtyczkę Popup Builder, jako regułę do skanera Nuclei, z którego korzysta rozwijane przez nas narzędzie Artemis.

Udostępnij: