Een nieuwe malwarecampagne maakt gebruik van een zeer ernstig beveiligingslek in de Popup Builder-plug-in voor WordPress om kwaadaardige JavaScript-code te injecteren.
Volgens Sucuri heeft de campagne de afgelopen drie weken ruim 3.900 sites geïnfecteerd.
“Deze aanvallen zijn georkestreerd vanaf domeinen die minder dan een maand oud zijn, met registraties die teruggaan tot 12 februari 2024”, zei beveiligingsonderzoeker Puja Srivastava in een rapport van 7 maart.
Infectiereeksen omvatten de exploitatie van CVE-2023-6000, een beveiligingsprobleem in Popup Builder dat kan worden uitgebuit om malafide beheerdersgebruikers te creëren en willekeurige plug-ins te installeren.
De tekortkoming werd eerder dit jaar uitgebuit als onderdeel van een Balada Injector-campagne, waarbij niet minder dan 7.000 sites in gevaar kwamen.
De nieuwste reeks aanvallen leidt tot de injectie van kwaadaardige code, die in twee verschillende varianten beschikbaar is en is ontworpen om sitebezoekers om te leiden naar andere sites, zoals phishing- en oplichtingspagina’s.
Eigenaren van WordPress-sites wordt aangeraden om hun plug-ins up-to-date te houden, hun sites te scannen op verdachte code of gebruikers en de juiste opschoning uit te voeren.
“Deze nieuwe malwarecampagne dient als een duidelijke herinnering aan de risico’s als u de software van uw website niet gepatcht en up-to-date houdt”, aldus Srivastava.
De ontwikkeling komt nadat WordPress-beveiligingsbedrijf Wordfence een zeer ernstige bug heeft onthuld in een andere plug-in, bekend als Ultimate Member, die kan worden ingezet om kwaadaardige webscripts te injecteren.
De cross-site scripting (XSS)-fout, bijgehouden als CVE-2024-2123 (CVSS-score: 7,2), heeft gevolgen voor alle versies van de plug-in, inclusief en vóór 2.8.3. Het is gepatcht in versie 2.8.4, uitgebracht op 6 maart 2024.
De fout komt voort uit onvoldoende opschoning van de invoer en het ontsnappen van uitvoer, waardoor niet-geverifieerde aanvallers willekeurige webscripts in pagina’s kunnen injecteren die elke keer dat een gebruiker ze bezoekt, worden uitgevoerd.
“Gecombineerd met het feit dat de kwetsbaarheid kan worden uitgebuit door aanvallers zonder privileges op een kwetsbare site, betekent dit dat er een grote kans is dat niet-geverifieerde aanvallers beheerderstoegang kunnen krijgen tot sites waarop de kwetsbare versie van de plug-in draait als ze succesvol worden uitgebuit. ‘, aldus Wordfence.
Het is vermeldenswaard dat de beheerders van de plug-in een soortgelijke fout (CVE-2024-1071, CVSS-score: 9.8) hebben verholpen in versie 2.8.3, uitgebracht op 19 februari.
Het volgt ook op de ontdekking van een willekeurige kwetsbaarheid voor het uploaden van bestanden in het Avada WordPress-thema (CVE-2024-1468, CVSS-score: 8,8) en voert mogelijk kwaadaardige code op afstand uit. Het is opgelost in versie 7.11.5.
“Dit maakt het voor geauthenticeerde aanvallers, met toegang op contribuantniveau of hoger, mogelijk om willekeurige bestanden op de server van de getroffen site te uploaden, waardoor uitvoering van externe code mogelijk wordt”, aldus Wordfence.
