ในเดือนกันยายน มีเว็บไซต์ WordPress กว่า 17,000 เว็บไซต์ ถูกการโจมตีของ Balada Injector

447/66 (IT) ประจำวันพฤหัสบดีที่ 12 ตุลาคม 2566

แคมเปญการใช้มัลแวร์ Balada Injector ได้มีการโจมตีเว็บไซต์ที่เป็น WordPress กว่า 17,000 เว็บไซต์ โดยการใช้ประโยชน์จากช่องโหว่อยู่ในส่วนประกอบต่าง ๆ ของ WordPress ตั้งแต่ ปลั๊กอิน ธีม และอื่น ๆ  ซึ่งการโจมตีโดยใช้ Balada ถือเป็นปฏิบัติการครั้งใหญ่ ซึ่งจะใช้ประโยชน์จากช่องโหว่ต่างๆ ของปลั๊กอิน WordPress เพื่อแทรก backdoor และจะเปลี่ยนเส้นทางผู้เยี่ยมชมเว็บไซต์ที่ถูกโจมตีนั้น ไปยังหน้าเว็บไซต์อื่น ๆ ที่เป็นอันตราย หรือเว็บไซต์ที่ใช้ในการฉ้อโกง ดังนั้น จึงเป็นส่วนหนึ่งของแคมเปญหลอกลวงให้กับผู้ไม่หวังดี โดยในเดือนเมษายน ปี 2023 Sucuri รายงานว่า Balada Injector มีการเปิดใช้งานมาตั้งแต่ปี 2017 และประเมินว่าได้มีการโจมตีเว็บไซต์ WordPress สำเร็จ มีจำนวนเกือบหนึ่งล้านเว็บไซต์    

ในแคมเปญปัจจุบัน ได้เริ่มต้นในช่วงกลางเดือนกันยายนที่ผ่านมา โดยผู้ก่อภัยคุกคามจะใช้ประโยชน์จากช่องโหว่ประเภท Cross-site scripting (XSS) ของ CVE-2023-3169 ใน tagDiv Composer ซึ่งเป็นเครื่องมือสำหรับธีม Newspaper และ Newsmag ของ tagDiv ใน WordPress ซึ่งตามสถิติของ EnvatoMarket พบว่า Newspaper มียอดขาย 137,000 รายการ และ Newsmag มีมากกว่า 18,500 รายการ ดังนั้น เว็บไซต์ที่มีความเสี่ยงต่อการถูกโจมตีจึงมีประมาณ 155,500 เว็บไซต์ ซึ่งนั้นยังไม่รวมถึงเว็บไซต์ที่ละเมิดลิขสิทธิ์ทั้ง 2 ธีมนี้ด้วย ซึ่ง Sucuri กล่าวว่าการตรวจพบมัลแวร์ Balada Injector บนเว็บไซต์ WordPress กว่า 17,000 เว็บไซต์ในเดือนกันยายน 2023 โดยมากกว่าครึ่งนึง ประมาณ 9,000 เว็บไซต์ ประสบความสำเร็จจากการใช้ประโยชน์จากช่องโหว่ CVE-2023-3169 เพื่อเป็นการป้องกัน Balada Injector จึงขอแนะนำให้ทำการอัปเกรดปลั๊กอิน tagDiv Composer เป็นเวอร์ชัน 4.2 หรือที่ใหม่กว่า ซึ่งสามารถแก้ไขช่องโหว่ดังกล่าวได้ นอกจากนี้ ให้ทำการอัปเดตธีมและปลั๊กอินทั้งหมดของคุณ และลบบัญชีผู้ใช้ที่ไม่ใช้งานแล้ว และสแกนไฟล์เพื่อหา backdoor ที่ซ่อนอยู่

แหล่งข่าว https://www.bleepingcomputer.com/news/security/over-17-000-wordpress-sites-hacked-in-balada-injector-attacks-last-month/