Jeżeli zdarzyło Wam się, że po wejściu na stronę internetową zostaliście przekierowani na podejrzane witryny informujące o wygranej na loterii czy wymuszające włączenie powiadomień push, to prawdopodobnie było to spowodowane infekcją strony przez Balada Injector.
Złośliwe przekierowanie najczęściej ujawnia się tylko za pierwszym razem i przy ponownych odwiedzinach otrzymujemy oczekiwaną zawartość strony. Takie przekierowanie to niestety objaw tego, że atakujący mają pełny dostęp do treści i możliwość zarządzania odwiedzaną witryną.
Szkodliwe oprogramowanie Balada Injector od 2017 roku systematycznie wykorzystuje luki w zabezpieczeniach wtyczek do systemu WordPress, aby uzyskać uprawnienia administratora na zaatakowanych stronach.
Wykorzystanie popularnej wtyczki Popup Builder
13 grudnia 2023 r. rozpoczęła się kolejna fala infekcji stron internetowych, tym razem z użyciem popularnej wtyczki Popup Builder w wersji do 4.2.3, w których wykryto podatność CVE-2023-6000. Wtyczka służy do tworzenia "wyskakujących okienek" z komunikatami. Po pomyślnym wykorzystaniu luka pozwala atakującym na wykonanie w panelu witryny dowolnej czynności, w tym zainstalowanie wtyczek i utworzenie nowych kont administratorów. Szczegóły techniczne dotyczące wstrzyknięcia i wykrywania obecności szkodliwego kodu zostały opisane na blogu Sucuri.
Rozesłaliśmy powiadomienia do administratorów stron internetowych zarejestrowanych w domenie .pl, które znalazły się w publicznie dostępnych wynikach skanowania pod kątem infekcji.
Jak zabezpieczyć stronę przed Balada Injector?
Zabezpieczenie strony internetowej opartej o WordPress powinno polegać przede wszystkim na systematycznym aktualizowaniu oprogramowania, w tym stosowanych wtyczek i ich usuwaniu, jeżeli nie są już wspierane. Jedyną metodą, która zapewnia wysoką skuteczność jest stosowanie wbudowanych mechanizmów automatycznej aktualizacji. Należy pamiętać także o stosowaniu uwierzytelniania dwuskładnikowego, unikalnych i silnych haseł, a także o ograniczaniu uprawnień użytkowników.
W przypadku wykrycia infekcji witryny, aby uniemożliwić złośliwe przekierowanie nie wystarczy usunięcie podatnej wtyczki. Należy uznać, że atakujący mógł posiadać pełny dostęp do plików strony. Należy prześledzić i usunąć wszelkie nieautoryzowane zmiany w kodzie strony, przejrzeć listę użytkowników oraz zmienić ich hasła. Najpewniejszym rozwiązaniem jest stworzenie witryny od nowa, bez kopiowania plików pomiędzy serwerami, lub wykorzystać kopię zapasową z czasu gdy wtyczka nie była jeszcze zainstalowana. Konieczne jest także przyjęcie założenia, że atakujący zdobyli wszystkie informacje znajdujące się na stronach i w połączonej bazie danych.
W odpowiedzi na ostatnią kampanię zespół CERT Polska dodał sprawdzenie, czy strona została zainfekowana oprogramowaniem Balada Injector wykorzystującą podatną wtyczkę Popup Builder, jako regułę do skanera Nuclei, z którego korzysta rozwijane przez nas narzędzie Artemis.