WordPress の 7,100 サイトを侵害する Balada：Popup Builder の脆弱性 CVE-2023-6000 を武器化

Balada Injector Infects Over 7,100 WordPress Sites Using Plugin Vulnerability

2024/01/15 TheHackerNews — WordPress で脆弱な Popup Builder プラグインを使用している数千のサイトが、Balada Injector と呼ばれるマルウェアに感染しているようだ。この、2023年1月に Doctor Web が報告したキャンペーンは、セキュリティ上に欠陥のある WordPress プラグインを武器にして、一連の定期的な攻撃の波を引き起こしている。それらのサイトにバックドアが注入され、偽の技術サポート／宝くじ当選／プッシュ通知などの詐欺ページへと、訪問者たちをリダイレクトしていく。

その後に実施された Sucuri の調査によると、この活動は 2017年から始まっており、100万以上のサイトに侵入するという規模の大きさが明らかになっている。

GoDaddy 傘下の Web セキュリティ会社 Sucuri は、2023年12月13日に最新の Balada Injector の活動を検出し、7,100 以上の Web サイトでバックドアの注入を確認したと述べている。

これらの攻撃で武器として悪用される、Popup Builder の脆弱性 CVE-2023-6000 (CVSS：8.8) は、昨日に WPScan により公開されたものだ。このプラグインは、20万以上のアクティブなインストールを持っており、また、この問題はバージョン 4.2.3 で対処されているという。

WPScan の研究者 Marc Montpas は、「この脆弱性の悪用に成功した攻撃者には、標的とするログイン状態にある管理者が、そのサイトで許可されている全アクションを実行する可能性が生じる。具体的に言うと、任意のプラグインのインストールや、新しい不正 Administrator ユーザーの作成などが挙げられる」と述べている。

このキャンペーンの最終的な目的は、specialcraftbox[.]com にホストされている悪意の JavaScript ファイルを挿入することで Web サイトを制御し、悪意のリダイレクトを促進する追加の JavaScript をロードすることにある。

この、Balada Injector を背後で操る脅威アクターは、バックドアのアップロード／悪意のプラグインの追加／不正なブログ管理者の作成などを行い、侵害したサイトでの持続的な制御を確立していくという。

多くのケースにおいて、ログイン状態にあるサイト管理者をターゲットにして、JavaScript インジェクションを行うことで、一連の侵害は達成される。

昨年に Sucuri の研究者 Denis Sinegubko は、「ブログ管理者が Web サイトにログインするとき、彼らの Web ブラウザにはクッキーが保持されている。そのため、管理者の活動をエミュレートするスクリプトを、彼らの Web ブラウザが読み込めば、WordPress の管理者インターフェースで可能とされる、ほぼ全てのアクションが実行できる」と述べている。

この Balada Injector による侵害も例外ではなく、ログインした管理者クッキーが検出されると、その特権を武器にして、不正なバックドア・プラグイン (“wp-felody.php ” または “Wp Felody”) をインストールする。続いて、バックドアをアクティブ化して、前述のドメインから第２段階のペイロードを取得する。

この第２段階のペイロードは別種のバックドアであり、テンポラリ・ファイルが保存されているディレクトリ内に “sasas” という名前で保存され、実行された後にディスクから削除される。

Denis Sinegubko は、「さらに、カレント・のディレクトリの３階層上までチェックし、現在のサイトのルート・ディレクトリと同じサーバ・アカウントを共有している可能性のある、他のサイトを探しだす。そして、検出されたサイトのルート・ディレクトリで、”wp-blog-header.php”ファイルを修正し、Popup Builder の脆弱性の悪用により注入された、Balada JavaScript マルウェアを再び注入する」と付け加えている。

WordPress の Popup Builder プラグインに存在する脆弱性 CVE-2023-6000 が悪用され、Balada Injector というマルウェアが展開されているとのことです。文中にも記されているように、侵害に成功した攻撃者は、ほぼ何でもできてしまうので、注意が必要です。この問題は、Popup Builder バージョン 4.2.3 で対処されているので、ご利用のチームは、ご確認ください。よろしければ、WordPress で検索も、ご利用ください。