В’єтнамський експерт з кібербезпеки Труок Фан (Truoc Phan) виявив уразливість плагіна tagDiv Composer для CMS WordPress. Вразливості надано номер CVE-2023-3169, а її експлуатація дозволила розмістити шкідливий код на більш ніж 9000 сайтів.

Плагін tagDiv Composer є обов’язковим для встановлення тем Newspaper та Newsmag для WordPress – вони продаються на популярних майданчиках Theme Forest та Envato, а скачали їх уже понад 155 000 разів. XSS-вразливість CVE-2023-3169 дозволяє зловмисникам впроваджувати шкідливий код у веб-сторінки. Їй надано рейтинг 7,1 з 10. Розробники tagDiv Composer частково закрили її з випуском версії плагіна 4.1, а повністю її було ліквідовано у версії 4.2.

На практиці зловмисники експлуатують цю вразливість для впровадження скриптів, які перенаправляють користувачів на інші сайти з імітацією інтерфейсу технічної підтримки, повідомлення про виграш у лотерею та заклики підписатися на сумнівні push-сповіщення. Атаки, пов’язані з вразливістю плагіна tagDiv Composer, є частиною великої кампанії шкідливого програмного забезпечення Balada — вона відстежується фахівцями з кібербезпеки компанії Sucuri ще з 2017 року. За останні шість років у рамках кампанії Balada було зламано понад 1 млн сайтів; тільки у вересні зафіксовано понад 17 тис. інцидентів, а через вразливість CVE-2023-3169 шкідливий код було розміщено на понад 9 тис. сайтів.

Метою атаки Balada є отримання контролю за скомпрометованим сайтом. Найпоширеніший спосіб — використання шкідливого коду для створення облікового запису з правами адміністратора. Цим адміністраторам при виявленні такого злому рекомендується повністю знищити всі ознаки шкідливої ​​активності: найчастіше це шкідливий код та нові облікові записи з адміністраторськими правами у списку користувачів. Якщо видалити лише шкідливий код, але залишити на сайті нелегітимного адміністратора, шкідливий код повернеться у новому вигляді. Наразі особливо рекомендується перевірити ознаки злому власникам сайтів на WordPress із встановленими темами Newspaper та Newsmag.