Зловмисники зламали тисячі сайтів, що працюють на системі управління контентом WordPress, скориставшись вразливістю у широко використовуваному плагіні.

Плагін tagDiv Composer є обов’язковою вимогою для використання двох тем WordPress: Newspaper та Newsmag, які мають понад 155 000 завантажень, передає ArsTechnica.

Вразливість має код CVE-2023-3169 та являє собою так званий міжсайтовий скриптинг (XSS), який дає змогу хакерам впроваджувати шкідливий код на веб-сторінки. Виявлена в’єтнамським дослідником Труок Фаном (Truoc Phan) уразливість має рейтинг серйозності 7.1 із 10 можливих. Вона була частково виправлена в tagDiv Composer версії 4.1 і повністю виправлена в 4.2.

Зловмисники використовують уразливість для впровадження вебскриптів, які перенаправляють відвідувачів на різні шахрайські сайти. Перенаправлення призводить до того, що відвідувачі потрапляють на сайти з фальшивою технічною підтримкою, фальшивими лотерейними виграшами та шахрайськими пуш-сповіщеннями, відображаючи фальшиві діалогові вікна з CAPCHA.

Компанія Sucuri відстежує кампанію зловмисників з 2017 року і назвала її Balada. За оцінками Sucuri, за останні шість років Balada скомпрометувала понад 1 мільйон сайтів. Минулого місяця (вересні) була виявлена активність Balada на понад 17 000 сайтів, що майже вдвічі більше, ніж за місяць до того. Понад 9 000 нових інфекцій були результатом ін’єкцій, які стали можливими завдяки використанню CVE-2023-3169.