Duizenden WordPress-websites zijn het slachtoffer van een hack op de tagDiv-plug-in. Hackers infecteerden deze plug-in met de Balada Injector.
155.000 WordPress-websites werken met de gehackte plug-in volgens cijfers van EnvatoMarkets. Het gaat om een plug-in die noodzakelijk is voor het verkrijgen van twee WordPress-thema’s, namelijk Newspaper en Newsmag.
Versie 4.2 is veilig
De kwetsbaarheid geeft hackers de mogelijkheid om kwaadaardige code in de WordPress-sites te laten draaien. Meer specifiek gaat het om een cross-site scripting (XSS)-kwetsbaarheid.
Na de bekendmaking van kwetsbaarheid CVE-2023-3169 werd al een patch uitgebracht voor de plug-in. Afhankelijk van de versie waarop een WordPress-site draait, kunnen hackers de kwetsbaarheid nog misbruiken. Versie van 4.1 van tagDiv lost het probleem deels op en alleen versie 4.2 is volledig veilig.
Doorverwijzen naar scam sites
Vorige maand vielen minsten 17.000 sites ten prooi aan Balada, volgens cijfers van beveiligingsspecialist Sucuri. Via de kwetsbaarheid laten hackers scripts draaien die bezoekers niet doorlaat naar de website die zij willen bereiken. In de plaats daarvan verwijst Balada de bezoekers door naar scam sites, zoals valse meldingen over het winnen van de loterij of websites die gebruikers proberen te strikken zich aan te melden voor een nieuwsbrief.
De Balada Injector is overigens geen nieuwe malware. Sucuri monitort de activiteiten van deze malware al sinds 2017 en zag de afgelopen zes jaar al meer dan één miljoen websites geïnfecteerd worden. Door de langere voorgeschiedenis, zijn de patronen van hackers reeds bekend: “Balada Injector-hackers streven altijd naar voortdurende controle over besmette sites door backdoors te uploaden, kwaadaardige plug-ins toe te voegen en malafide blogbeheerders te creëren.”
Websites die de plug-in tagDiv gebruiken, worden gevraagd site- en event-logs na te kijkken op sporen van infectie. Als een kwaadaardig script wordt aangetroffen, is het belangrijk de admin-accounts na te kijken. Hackers maken immers een vals account aan om het script te injecteren en blijven dit account gebruiken eens ze merken dat het script werd verwijderd.
21 uur geleden
