Uma nova campanha de malware está aproveitando uma falha de segurança de alta gravidade no plugin Popup Builder para WordPress para injetar código JavaScript malicioso.
Segundo a Sucuri, a campanha infectou mais de 3.900 websites nas últimas três semanas.
“Esses ataques são orquestrados a partir de domínios com menos de um mês, com registros que datam de 12 de fevereiro de 2024”, disse o pesquisador de segurança Puja Srivastava em relatório datado de 7 de março.
As sequências de infecção envolvem a exploração do CVE-2023-6000, uma vulnerabilidade de segurança no Popup Builder que pode ser explorada para criar usuários administradores desonestos e instalar plug-ins arbitrários.
A deficiência foi explorada como parte de uma campanha do Balada Injector no início de Janeiro, comprometendo nada menos que 7.000 locais.
O último conjunto de ataques leva à injeção de código malicioso, que vem em duas variantes diferentes e é projetado para redirecionar os visitantes do website para outros websites, como páginas de phishing e rip-off.
Recomenda-se que os proprietários de websites WordPress mantenham seus plug-ins atualizados, bem como verifiquem seus websites em busca de códigos ou usuários suspeitos e realizem a limpeza apropriada.
“Esta nova campanha de malware serve como um lembrete dos riscos de não manter o software program do seu website corrigido e atualizado”, disse Srivastava.
O desenvolvimento ocorre no momento em que a empresa de segurança WordPress Wordfence revela um bug de alta gravidade em outro plugin conhecido como Final Member, que pode ser usado como arma para injetar scripts da internet maliciosos.
A falha de cross-site scripting (XSS), rastreada como CVE-2024-2123 (pontuação CVSS: 7.2), afeta todas as versões do plugin, incluindo e anteriores a 2.8.3. Foi corrigido na versão 2.8.4, lançada em 6 de março de 2024.
A falha decorre da limpeza insuficiente de entrada e do escape de saída, permitindo assim que invasores não autenticados injetem scripts da internet arbitrários em páginas que serão executadas sempre que um usuário as visitar.
“Combinado com o fato de que a vulnerabilidade pode ser explorada por invasores sem privilégios em um website vulnerável, isso significa que há uma grande likelihood de que invasores não autenticados possam obter acesso de usuário administrativo em websites que executam a versão vulnerável do plugin quando explorados com sucesso, “, disse Wordfence.
É importante notar que os mantenedores do plugin corrigiram uma falha semelhante (CVE-2024-1071, pontuação CVSS: 9.8) na versão 2.8.3 lançada em 19 de fevereiro.
Também segue a descoberta de uma vulnerabilidade de add arbitrário de arquivos no tema Avada WordPress (CVE-2024-1468, pontuação CVSS: 8,8) e possivelmente executa código malicioso remotamente. Foi resolvido na versão 7.11.5.
“Isso possibilita que invasores autenticados, com acesso de nível de contribuidor e superior, carreguem arquivos arbitrários no servidor do website afetado, o que pode tornar possível a execução remota de código”, disse Wordfence.