ClickCease L'injecteur Balada Le compromis WordPress

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

L'injecteur Balada Le compromis WordPress

Wajahat Raja

23 octobre 2023 - L'équipe d'experts de TuxCare

Dans le monde en constante évolution de la cybersécurité, la vigilance est essentielle pour protéger votre site web. Une menace récente, connue sous le nom de Balada Injector, a jeté une ombre sur WordPress, compromettant plus de 17 000 sites web au cours du mois dernier. Cet article de blog se penche sur les détails de la compromission de WordPress par compromission de Balada Injector sur WordPressses implications et, surtout, comment protéger votre site WordPress contre cette menace.


Compromis WordPress de l'injecteur Balada : une vue d'ensemble


L'injecteur Balada n'est pas un nom connu de tous, mais il a eu un impact considérable sur la communauté WordPress. Dr. Web a découvert cette cyberactivité en
décembre 2022. Balada Injector injecte une porte dérobée dans les ordinateurs Linux en exploitant des vulnérabilités connues dans les plugins de thèmes premium. Cette porte dérobée pernicieuse redirige les visiteurs de sites web vers de fausses pages d'assistance technique, de faux gains de loterie et des notifications push frauduleuses.

Cette opération a soulevé des questions quant à sa nature : fait-elle partie de campagnes d'escroquerie plus vastes ou s'agit-il d'un service offert à des acteurs malveillants ? Quoi qu'il en soit, son impact sur les propriétaires de sites web et les visiteurs est indéniable.


Longévité et échelle


Une révélation surprenante a été faite en avril 2023 lorsque Sucuri a signalé que Balada Injector était actif depuis 2017, compromettant potentiellement près d'un million de sites WordPress. Cela indique une menace prolongée et persistante, d'où la nécessité pour les administrateurs de sites web de rester informés et de prendre des mesures.


La dernière campagne : Exploitation CVE-2023-3169


La campagne la plus récente de Balada Injector se concentre sur la CVE-2023-3169, une faiblesse de type cross-site scripting (XSS) découverte dans l'outil tagDiv Composer. Cet outil fonctionne en tandem avec les thèmes Newspaper et Newsmag de tagDiv, qui sont des alternatives populaires pour les sites WordPress. Ces deux thèmes sont de qualité supérieure et sont fréquemment utilisés par des sites web prospères à fort trafic.

La nouvelle campagne de cette faille de sécurité de WordPress a débuté à la mi-septembre, peu après la divulgation de la vulnérabilité et la réalisation d'une exploit de démonstration ait été publié. Les attaquants ont pénétré les sites WordPress en utilisant le plugin malveillant "wp-zexit.php", qui leur a permis d'exécuter à distance du code PHP sauvegardé dans le fichier "/tmp/i". En outre, l'injection de code dans les modèles a conduit les visiteurs vers des sites d'escroquerie contrôlés par les attaquants.

 

TagDiv, le développeur des thèmes concernés, a reconnu le problème et recommandé la mise à jour vers la dernière version du thème comme mesure préventive. L'installation d'un plugin de sécurité tel que Wordfence, l'analyse du site web et la modification de tous les mots de passe du site web sont également des précautions suggérées.


Les points de vue de Sucuri : La complexité de la campagne


Le rapport de Sucuri fournit une vue d'ensemble de la campagne Balada Injector. Il met en évidence six vagues d'attaques distinctes, dont certaines comportent des variantes, ce qui souligne la sophistication des attaquants. Voici la répartition de ces vagues d'attaques
attaques de logiciels malveillants contre WordPress:

 

  1. Compromission de sites WordPress : Les attaquants ont injecté des scripts malveillants à partir de "stay.decentralappps[.]com", ce qui a eu un impact sur plus de 5 000 sites web.
  2. Création de faux comptes d'administrateur : Au départ, les attaquants ont utilisé le nom d'utilisateur "greeceman", mais ils ont ensuite opté pour des noms d'utilisateur générés automatiquement à partir du nom d'hôte du site.
  3. Intégration de portes dérobées : L'éditeur de thème de WordPress a été utilisé de manière abusive pour intégrer des portes dérobées dans le fichier "404.php" du thème "Newspaper" afin de les faire persister furtivement.
  4. Utilisation du plugin wp-zexit : Les attaquants ont eu recours à ce plugin, qui imite le comportement de l'administrateur de WordPress et dissimule des portes dérobées dans l'interface Ajax du site web.
  5. Une randomisation accrue : Pour échapper à la détection, les attaquants ont introduit trois nouveaux domaines et augmenté le caractère aléatoire des scripts, des URL et des codes injectés.
  6. Nouveaux domaines : Les attaques ont commencé à utiliser les sous-domaines "promsmotion[.]com", en se concentrant sur trois injections spécifiques détectées dans 92, 76 et 67 sites web.

 

Les conclusions de Sucuri révèlent que plus de 17,000 sites WordPress ont été victimes de Balada Injector en septembre 2023, dont environ la moitié (9 000) ont été compromis par la CVE-2023-3169. Cela souligne la capacité des attaquants à s'adapter rapidement pour maximiser leur impact.


Défense contre l'injecteur Balada


Protéger votre site WordPress
contre Balada Injector est d'une importance capitale. Voici les étapes à suivre pour renforcer vos défenses :

  1. Mettre à jour tagDiv Composer : Assurez-vous que votre plugin tagDiv Composer est mis à jour avec au moins la version 4.2 ou une version plus récente. Cette mise à jour corrige la vulnérabilité ciblée par Balada Injector.
  2. Maintenir les thèmes et les plugins à jour : Mettez régulièrement à jour tous les thèmes et plugins de votre site WordPress. Les développeurs publient souvent des mises à jour pour corriger les vulnérabilités et améliorer la sécurité.
  3. Supprimez les comptes d'utilisateurs dormants : Passez en revue vos comptes d'utilisateurs et supprimez ceux qui ne sont plus actifs ou nécessaires. Réduire le nombre de points d'entrée potentiels pour les attaquants est une sage précaution.
  4. Recherche de portes dérobées cachées : Analysez régulièrement les fichiers de votre site web pour détecter les portes dérobées cachées ou les codes malveillants. Les plugins de sécurité peuvent être utiles à cet égard.


Conclusion


Les récentes attaques de Balada Injector contre plus de 17 000 sites web WordPress nous rappellent brutalement que les menaces sont omniprésentes dans le paysage numérique.
L'atténuation des vulnérabilités de WordPress est un aspect essentiel du maintien d'un site web sécurisé et résilient. Il est de notre responsabilité de nous tenir informés, de rester vigilants et de prendre des mesures proactives pour protéger nos actifs en ligne.

Mise en œuvre des pratiques exemplaires en matière de sécurité des sites web est essentielle pour protéger votre présence en ligne. En suivant les mesures de sécurité recommandées et en vous tenant au courant des dernières évolutions, vous pouvez atténuer les risques posés par Balada Injector et d'autres menaces de cybersécurité. La sécurité de votre site web et la confiance de vos visiteurs en dépendent !

Les sources de cet article comprennent des articles dans The Hacker News et SC Media.

 

Résumé
L'injecteur Balada Le compromis WordPress
Nom de l'article
L'injecteur Balada Le compromis WordPress
Description
Découvrez le dernier compromis WordPress Balada Injector et apprenez comment protéger votre site WordPress de Balada Injector. Restez vigilants.
Auteur
Nom de l'éditeur
Entretien des smokings
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information