Lebih daripada 17,000 laman web WordPress telah digodam pada bulan September

Menurut The Hacker News , sehingga 9,000 tapak web telah dikompromi melalui kelemahan keselamatan yang didedahkan baru-baru ini dalam pemalam tagDiv Composer pada platform WordPress. Ralat ini membenarkan penggodam tanpa pengesahan untuk memasukkan kod hasad ke dalam kod sumber aplikasi web.

Penyelidik keselamatan Sucuri berkata ini bukan kali pertama kumpulan Balada Injector menyasarkan kelemahan dalam tema tagDiv. Jangkitan perisian hasad berskala besar berlaku pada musim panas 2017, apabila dua tema WordPress popular, Newspaper dan Newsmag, dieksploitasi secara aktif oleh penggodam.

Balada Injector ialah operasi berskala besar yang pertama kali dikesan oleh Doctor Web pada Disember 2022, di mana kumpulan itu mengeksploitasi berbilang kelemahan pemalam WordPress untuk menggunakan pintu belakang pada sistem yang terjejas.

Tujuan utama aktiviti ini adalah untuk mengarahkan pelawat ke tapak web yang terjejas ke halaman sokongan teknikal palsu, halaman memenangi loteri dan pengumuman penipuan. Lebih daripada 1 juta laman web telah terjejas oleh Balada Injector sejak 2017.

Operasi utama melibatkan mengeksploitasi kerentanan CVE-2023-3169 untuk menyuntik kod hasad dan mewujudkan akses kepada tapak web dengan memasang pintu belakang, menambah pemalam hasad dan mencipta pentadbir untuk mengawal tapak web.

Sucuri menyifatkan ini sebagai salah satu serangan yang lebih canggih yang dijalankan oleh program automatik yang meniru pemasangan pemalam daripada arkib ZIP dan mengaktifkannya. Gelombang serangan yang diperhatikan pada akhir September 2023 menggunakan suntikan kod rawak untuk memuat turun dan melancarkan perisian hasad daripada pelayan jauh untuk memasang pemalam wp-zexit pada tapak web WordPress yang disasarkan.