WordPress: attenzione al noto malware Balada

L’utilizzo di temi scaricati dalla directory di WordPress, a differenza dell’utilizzo degli strumenti di default forniti dalla stessa piattaforma nei vari aggiornamenti, è una pratica utilizzata da molti sviluppatori per dare un tocco diverso ai propri siti web. Tuttavia talvolta questi strumenti diventano insidiosi poiché possono portarsi dietro vulnerabilità non sanate che mettono in potenziale pericolo i portali.

Questo è il caso di Newspaper e Newsmag, due temi molto utilizzati da coloro che sui propri siti, come dicono i nomi stessi, si occupano di riportare notizie e novità di cronaca e non solo. Gli esperti di Sucuri hanno riscontrato un bug, contrassegnato da MITRE come vulnerabilità CVE-2023-3169, che va a colpire un plugin chiamato tagDiv Composer, uno strumento utilizzato da coloro che impostano i due temi citati in precedenza. Questa falla di sicurezza darebbe modo ai cybercriminali di effettuare attacchi di tipo Stored XSS (Cross-Site Scripting) iniettando quindi codice malevolo all’interno dei siti e quindi compromettendoli.

La gravità di questa falla è data dall’alto numero di utenti che usano Newspaper e Newsmag e quindi anche tagDiv Composer, che ammonterebbero a circa 135mila. Tutti questi utilizzatori di WordPress, per via di un mancato controllo a coloro che si autenticano, potrebbero portare ad attacchi XSS che reindirizzano chi si collega al sito verso domini malevoli, di phishing o che portano avanti truffe di diverso genere. Sebbene le modalità di attacco riscontrate dagli esperti siano almeno sei e sfruttino sempre lo stesso script, è assai probabile che le tecniche siano molte di più. Ad ogni modo Balada, questo il nome del malware, soltanto a settembre ha mietuto almeno 17.000 vittime raddoppiando quelle del mese di agosto.

Gli stessi esperti stanno riscontrando un aggiornamento continuo dell’injector, che mediante tecniche sempre diverse riesce comunque ad infiltrarsi nei siti ed agire tramite l’utilizzo di una lunga serie di domini diversi, utilizzo massiccio di CloudFlare e diverse metodologie di attacco agli amministratori dei siti WordPress compromessi. C’è tuttavia un raggio di speranza, poiché è stata diffusa la versione 4.2 di tagDiv Composer che pone fine all’esistenza della vulnerabilità, ma è necessario che gli utenti che utilizzano il plugin provvedano al più presto possibile all’update.

 

Fonte: 1