Một chiến dịch phần mềm độc hại mới đang tận dụng một lỗ hổng bảo mật nghiêm trọng cao trong plugin Popup Builder cho WordPress để tiêm mã JavaScript độc hại.
Theo Sucuri, chiến dịch đã lây nhiễm hơn 3.900 địa điểm trong ba tuần qua.
"Những cuộc tấn công này được dàn dựng từ các tên miền chưa đầy một tháng tuổi, với các đăng ký có từ ngày 12/2/2024", nhà nghiên cứu bảo mật Puja Srivastava cho biết trong một báo cáo ngày 7/3.
Trình tự lây nhiễm liên quan đến việc khai thác CVE-2023-6000, một lỗ hổng bảo mật trong Popup Builder có thể bị khai thác để tạo người dùng quản trị giả mạo và cài đặt các plugin tùy ý.
Sự thiếu sót đã được khai thác như một phần của chiến dịch Balada Injector vào đầu tháng Giêng này, ảnh hưởng đến không dưới 7.000 trang web.
Tập hợp các cuộc tấn công mới nhất dẫn đến việc tiêm mã độc, có hai biến thể khác nhau và được thiết kế để chuyển hướng khách truy cập trang web đến các trang web khác như trang lừa đảo và lừa đảo.
Chủ sở hữu trang web WordPress được khuyến nghị cập nhật các plugin của họ cũng như quét trang web của họ để tìm bất kỳ mã hoặc người dùng đáng ngờ nào và thực hiện dọn dẹp thích hợp.
"Chiến dịch phần mềm độc hại mới này đóng vai trò như một lời nhắc nhở rõ ràng về những rủi ro của việc không giữ cho phần mềm trang web của bạn được vá và cập nhật", Srivastava nói.
Sự phát triển này diễn ra khi công ty bảo mật WordPress Wordfence tiết lộ một lỗi nghiêm trọng cao trong một plugin khác được gọi là Ultimate Member có thể được vũ khí hóa để tiêm các tập lệnh web độc hại.
Lỗ hổng cross-site scripting (XSS), được theo dõi là CVE-2024-2123 (điểm CVSS: 7.2), ảnh hưởng đến tất cả các phiên bản của plugin, bao gồm và trước 2.8.3. Nó đã được vá trong phiên bản 2.8.4, phát hành vào ngày 6 tháng 3 năm 2024.
Lỗ hổng bắt nguồn từ việc khử trùng đầu vào không đủ và thoát đầu ra, do đó cho phép những kẻ tấn công không được xác thực tiêm các tập lệnh web tùy ý vào các trang sẽ được thực thi mỗi khi người dùng truy cập chúng.
"Kết hợp với thực tế là lỗ hổng có thể bị khai thác bởi những kẻ tấn công không có đặc quyền trên một trang web dễ bị tổn thương, điều này có nghĩa là có khả năng cao những kẻ tấn công không được xác thực có thể truy cập người dùng quản trị trên các trang web chạy phiên bản plugin dễ bị tổn thương khi bị khai thác thành công", Wordfence nói.
Điều đáng chú ý là những người bảo trì plugin đã giải quyết một lỗ hổng tương tự (CVE-2024-1071, điểm CVSS: 9.8) trong phiên bản 2.8.3 được phát hành vào ngày 19 tháng 2.
Nó cũng theo sau việc phát hiện ra lỗ hổng tải lên tệp tùy ý trong chủ đề Avada WordPress (CVE-2024-1468, điểm CVSS: 8.8) và có thể thực thi mã độc từ xa. Nó đã được giải quyết trong phiên bản 7.11.5.
"Điều này giúp những kẻ tấn công được xác thực, với quyền truy cập cấp cộng tác viên trở lên, có thể tải lên các tệp tùy ý trên máy chủ của trang web bị ảnh hưởng, điều này có thể giúp thực thi mã từ xa", Wordfence nói.