Una nuova minaccia informatica ha preso di mira oltre 3000 siti web basati su WordPress, sfruttando una vulnerabilità nota nel popolare plugin Popup Builder. Questa vulnerabilità, già identificata con il CVE-2023-6000, colpisce le versioni precedenti alla 4.2.3 del plugin e permette attacchi di tipo XSS stored.
Il sito di sicurezza informatica Sucuri.net ha lanciato recentemente l’allarme riguardo a una campagna malevola che sfrutta questa vulnerabilità, la quale è stata pubblicamente nota dal dicembre 2023. Tra le vittime, sono stati identificati anche domini italiani coinvolti in questa campagna.
Il modus operandi della minaccia, nota come Balada Injector, è consistente con le precedenti campagne: sfrutta la gestione dell’evento “sgpbWillOpen” all’interno di Popup Builder, un evento che si attiva all’apertura del popup, per eseguire codice JavaScript dannoso. Una volta attivato, questo codice JavaScript avvia una serie di richieste e reindirizzamenti verso domini contenenti altro codice dannoso, adattandosi dinamicamente in base allo user-agent del dispositivo e cercando di indirizzare gli utenti verso pagine di phishing, truffe o tentativi di abilitare notifiche push indesiderate.
Il problema dei plugin obsoleti rappresenta una sfida significativa per la sicurezza online. Spesso, gli utenti non sono consapevoli delle potenziali vulnerabilità e installano plugin senza tenere conto dei rischi. Il protrarsi di periodi senza aggiornamenti lascia queste falle non risolte, consentendo agli attaccanti di sfruttarle, come dimostra il caso di Balada Injector. È importante sottolineare che il problema non risiede direttamente in WordPress stesso, ma piuttosto nei suoi plugin.
Per mitigare il rischio di sfruttamento di questa vulnerabilità, gli esperti consigliano di aggiornare il plugin Popup Builder alla versione 4.2.7, la quale corregge questa falla di sicurezza. È inoltre fondamentale assicurarsi che tutti i plugin installati su WordPress siano aggiornati all’ultima release disponibile.
Infine, per contrastare attivamente la campagna di Balada Injector e verificare eventuali compromissioni, è possibile utilizzare gli Indicatori di Compromissione (IoC) condivisi dal CERT-AGID con le Pubbliche Amministrazioni accreditate tramite il Flusso IoC. Questo permette di identificare e rispondere prontamente a eventuali attacchi informatici.
