{"id":1101866,"date":"2024-01-15T09:55:29","date_gmt":"2024-01-15T11:55:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/balada-injector-infecte-plus-de-7-100-sites-wordpress-a-laide-dune-vulnerabilite-de-plugin\/"},"modified":"2024-01-15T09:55:33","modified_gmt":"2024-01-15T11:55:33","slug":"balada-injector-infecte-plus-de-7-100-sites-wordpress-a-laide-dune-vulnerabilite-de-plugin","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/balada-injector-infecte-plus-de-7-100-sites-wordpress-a-laide-dune-vulnerabilite-de-plugin\/","title":{"rendered":"Balada Injector infecte plus de 7\u00a0100 sites WordPress \u00e0 l\u2019aide d\u2019une vuln\u00e9rabilit\u00e9 de plugin"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9\/vuln\u00e9rabilit\u00e9 du site Web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Balada-Injector-infecte-plus-de-7-100-sites-WordPress-a-laide.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des milliers de sites WordPress utilisant une version vuln\u00e9rable du plugin Popup Builder ont \u00e9t\u00e9 compromis par un malware appel\u00e9 <strong>Injecteur Balada<\/strong>.<\/p>\n<p>Document\u00e9e pour la premi\u00e8re fois par Doctor Web en janvier 2023, la campagne se d\u00e9roule sous la forme d&#8217;une s\u00e9rie de vagues d&#8217;attaques p\u00e9riodiques, exploitant les failles de s\u00e9curit\u00e9 des plugins WordPress pour injecter des portes d\u00e9rob\u00e9es con\u00e7ues pour rediriger les visiteurs de sites infect\u00e9s vers de fausses pages d&#8217;assistance technique, des gains frauduleux \u00e0 la loterie et des escroqueries par notifications push. .<\/p>\n<p>Les d\u00e9couvertes ult\u00e9rieures exhum\u00e9es par Sucuri ont r\u00e9v\u00e9l\u00e9 l&#8217;ampleur massive de l&#8217;op\u00e9ration, qui serait active depuis 2017 et aurait infiltr\u00e9 depuis lors pas moins d&#8217;un million de sites.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-attaques-DDoS-contre-le-secteur-des-services-environnementaux-augmentent.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 de sites Web appartenant \u00e0 GoDaddy, qui <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2024\/01\/thousands-of-sites-with-popup-builder-compromised-by-balada-injector.html\" target=\"_blank\">d\u00e9tect\u00e9<\/a> la derni\u00e8re activit\u00e9 de Balada Injector le 13 d\u00e9cembre 2023, a d\u00e9clar\u00e9 avoir identifi\u00e9 les injections sur <a rel=\"nofollow noopener\" href=\"https:\/\/publicwww.com\/websites\/%22sgpbWillOpen%5C%22%2C+function%28e%29+%7Bif+%28e.detail.popupId%22+atob\/\" target=\"_blank\">plus de 7 100 sites<\/a>.<\/p>\n<p>Ces attaques profitent d&#8217;une faille de haute gravit\u00e9 dans Popup Builder (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-6000\" target=\"_blank\">CVE-2023-6000<\/a>score CVSS : 8,8) \u2013 un plugin avec <a rel=\"nofollow noopener\" href=\"https:\/\/wordpress.org\/plugins\/popup-builder\/\" target=\"_blank\">plus de 200 000 installations actives<\/a> \u2013 qui a \u00e9t\u00e9 divulgu\u00e9 publiquement par WPScan la veille.  Le probl\u00e8me a \u00e9t\u00e9 r\u00e9solu dans la version 4.2.3.<\/p>\n<p>&#8220;Lorsqu&#8217;elle est exploit\u00e9e avec succ\u00e8s, cette vuln\u00e9rabilit\u00e9 peut permettre aux attaquants d&#8217;effectuer toute action que l&#8217;administrateur connect\u00e9 qu&#8217;ils ont cibl\u00e9 est autoris\u00e9 \u00e0 faire sur le site cibl\u00e9, y compris l&#8217;installation de plugins arbitraires et la cr\u00e9ation de nouveaux utilisateurs administrateurs malveillants&#8221;, a d\u00e9clar\u00e9 Marc Montpas, chercheur chez WPScan. <a rel=\"nofollow noopener\" href=\"https:\/\/wpscan.com\/blog\/stored-xss-fixed-in-popup-builder-4-2-3\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Le but ultime de la campagne est d&#8217;ins\u00e9rer un fichier JavaScript malveillant h\u00e9berg\u00e9 sur specialcraftbox[.]com et utilisez-le pour prendre le contr\u00f4le du site Web et charger du JavaScript suppl\u00e9mentaire afin de faciliter les redirections malveillantes.<\/p>\n<p>De plus, les acteurs malveillants derri\u00e8re Balada Injector sont connus pour \u00e9tablir un contr\u00f4le persistant sur les sites compromis en t\u00e9l\u00e9chargeant des portes d\u00e9rob\u00e9es, en ajoutant des plugins malveillants et en cr\u00e9ant des administrateurs de blog malveillants.<\/p>\n<p>Ceci est souvent r\u00e9alis\u00e9 en utilisant des injections JavaScript pour cibler sp\u00e9cifiquement les administrateurs de site connect\u00e9s.<\/p>\n<p>&#8220;L&#8217;id\u00e9e est que lorsqu&#8217;un administrateur de blog se connecte \u00e0 un site Web, son navigateur contient des cookies qui lui permettent d&#8217;effectuer toutes ses t\u00e2ches administratives sans avoir \u00e0 s&#8217;authentifier \u00e0 chaque nouvelle page&#8221;, a not\u00e9 l&#8217;ann\u00e9e derni\u00e8re Denis Sinegubko, chercheur \u00e0 Sucuri.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Ainsi, si leur navigateur charge un script qui tente d&#8217;\u00e9muler l&#8217;activit\u00e9 de l&#8217;administrateur, il pourra faire presque tout ce qui peut \u00eatre fait via l&#8217;interface d&#8217;administration de WordPress.&#8221;<\/p>\n<p>La nouvelle vague ne fait pas exception dans la mesure o\u00f9 si des cookies d&#8217;administrateur connect\u00e9s sont d\u00e9tect\u00e9s, elle utilise les privil\u00e8ges \u00e9lev\u00e9s pour installer et activer un plugin de porte d\u00e9rob\u00e9e malveillant (&#8220;wp-felody.php&#8221; ou &#8220;Wp Felody&#8221;) afin d&#8217;en r\u00e9cup\u00e9rer un deuxi\u00e8me. -charge utile de sc\u00e8ne du domaine susmentionn\u00e9.<\/p>\n<p>La charge utile, une autre porte d\u00e9rob\u00e9e, est enregistr\u00e9e sous le nom &#8220;sasas&#8221; dans le <a rel=\"nofollow noopener\" href=\"https:\/\/www.php.net\/manual\/en\/function.sys-get-temp-dir.php\" target=\"_blank\">r\u00e9pertoire o\u00f9 sont stock\u00e9s les fichiers temporaires<\/a>puis est ex\u00e9cut\u00e9 et supprim\u00e9 du disque.<\/p>\n<p>&#8220;Il v\u00e9rifie jusqu&#8217;\u00e0 trois niveaux au-dessus du r\u00e9pertoire actuel, recherchant le r\u00e9pertoire racine du site actuel et tout autre site susceptible de partager le m\u00eame compte de serveur&#8221;, a d\u00e9clar\u00e9 Sinegubko.<\/p>\n<p>&#8220;Ensuite, dans les r\u00e9pertoires racine du site d\u00e9tect\u00e9s, il modifie le fichier wp-blog-header.php pour injecter le m\u00eame malware JavaScript Balada que celui initialement inject\u00e9 via la vuln\u00e9rabilit\u00e9 Popup Builder.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/balada-injector-infects-over-7100.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 janvier 2024\ue804R\u00e9dactionS\u00e9curit\u00e9\/vuln\u00e9rabilit\u00e9 du site Web Des milliers de sites WordPress utilisant une version vuln\u00e9rable du plugin Popup Builder ont \u00e9t\u00e9 compromis par un malware appel\u00e9 Injecteur Balada. Document\u00e9e pour la premi\u00e8re fois par Doctor Web en janvier 2023, la campagne se d\u00e9roule sous la forme d&#8217;une s\u00e9rie de vagues d&#8217;attaques p\u00e9riodiques, exploitant les failles [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1101867,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,155771,4168,4165,4161,200267,1326,16220,155772,4159,4171,1151,200271,200268,200269,200270,51599,128318,4172,4169,2783,4166,3667,4164,51600],"class_list":["post-1101866","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-balada","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dune","tag-infecte","tag-injector","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-laide","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-plugin","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-sites","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1101866","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1101866"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1101866\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1101867"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1101866"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1101866"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1101866"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}