Yaklaşık 6.700 WordPress web sitesine, CVE-2023-6000 olarak izlenen siteler arası komut dosyası çalıştırma (XSS) güvenlik açığına sahip bir Popup Builder eklentisi kullanıldıktan sonra Balada Injector kötü amaçlı yazılımı bulaştı.
Balada Enjektör kampanyası uzun süredir devam ediyor (2017’den beri) ve daha fazlasını tehlikeye sokan bir operasyondur 1 milyon WordPress sitesi son altı yılda. Saldırıda, ziyaretçileri meşru bir WordPress sitesinden sahte destek sayfalarına ve güvenliği ihlal edilmiş veya dolandırıcılık web sitelerine yönlendirmek için bir arka kapı enjekte edilir.
En son faaliyet dalgasındaki tehdit aktörleri, Popup Builder’ın “sgpbWillOpen” etkinliğini devralmak ve bir açılır pencerenin başlatılmasından sonra kötü amaçlı JavaScript kodu enjeksiyonunun önünü açmak için XSS güvenlik açığından yararlandı. Tehdit aktörleri “wp-blog-header.php” dosyasında değişiklik yaparak JavaScript kodunu çalıştırdı.
Popup Builder eklentisinin bu güvenlik açığı bulunan sürümü 200.000’den fazla kuruluma sahiptir, dolayısıyla daha fazla enfeksiyon gelebilir.
“Kötü niyetli WordPress eklentileri genellikle zordur Kurbanlar, güvenlik açıklarının mevcut olabileceği bilgisi olmadan bunları yüklerken savaşmak için. Jscrambler güvenlik araştırmacısı Pedro Marrucho, e-postayla gönderdiği bir bildiride, güncelleme yapılmayan uzun sürelerin herhangi bir güvenlik açığını giderilmeden bıraktığını ve bu yeni Balada Enjektöründe olduğu gibi tehdit aktörlerinin bunlardan yararlanmasına olanak tanıdığını belirtti.
Marrucho, sorunu hafifletmek ve riskini en aza indirmek için “web sitesindeki tehdit aktörlerinin faaliyetlerini takip etmek için kullanılabilecek” bir bütünlük izleme çözümünün uygulanmasını, üçüncü taraf kod katılımını minimumda tutmayı ve “rutin güncellemeler gerçekleştirmeyi” önerdi onlar üzerinde.”