CVE-2023-6000 XSS Vulnerability

Os hackers têm comprometido sites WordPress explorando uma vulnerabilidade encontrada em versões desatualizadas do plugin Popup Builder. Isso resultou na infecção de mais de 3.300 sites com códigos ruins. A vulnerabilidade, conhecida como CVE-2023-6000, é uma vulnerabilidade de cross-site scripting (XSS) que afeta as versões 4.2.3 e anteriores do Popup Builder. Foi divulgado pela primeira vez em novembro de 2023.

No início de 2024, foi descoberta uma campanha do Balada Injector, utilizando esta vulnerabilidade específica para infectar mais de 6.700 sites. Isto destaca o fato de que muitos administradores de sites não aplicaram patches imediatamente para mitigar o risco. Recentemente, pesquisadores de segurança da informação identificaram uma nova campanha apresentando um aumento significativo de atividade, visando a mesma vulnerabilidade presente no plugin WordPress.

As evidências sugerem que injeções de código associadas a esta última campanha foram detectadas em mais de 3.000 sites WordPress.

A Cadeia de Ataque que Explora a Vulnerabilidade XSS CVE-2023-6000

Os ataques infectam as seções Custom JavaScript ou Custom CSS da interface de administração do WordPress, enquanto o código errado é armazenado na tabela de banco de dados ‘wp_postmeta’. A função principal do código injetado é atuar como manipuladores de eventos para vários eventos do plugin Popup Builder, como 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' e ' sgpb-DidClose.' Ao fazer isso, o código errado é acionado por ações específicas do plugin, como quando um pop-up abre ou fecha.

As ações exatas do código podem variar. Ainda assim, o objetivo principal das injeções parece ser redirecionar os visitantes de sites infectados para destinos inseguros, como páginas de phishing e sites de lançamento de malware.

Especificamente, em algumas infecções, os pesquisadores observaram o código injetando uma URL de redirecionamento - 'http://ttincoming.traveltraffic.cc/?traffic', como o parâmetro 'redirect-url' para um pop-up 'contact-form-7'. A injeção então recupera o trecho de código incorreto de uma fonte externa e o injeta no cabeçalho da página da web do navegador para execução.

Na prática, é possível que os atacantes atinjam uma série de objetivos prejudiciais através deste método, muitos deles potencialmente mais graves do que os redirecionamentos.

Tome Medidas para Se Proteger contra a Vulnerabilidade XSS CVE-2023-6000

Para mitigar eficazmente estes ataques, é aconselhável bloquear o acesso dos dois domínios específicos de onde os ataques se originam. Além disso, se você estiver utilizando o plugin Popup Builder em seu site, é crucial atualizar para a versão mais recente, que atualmente é a versão 4.2.7. Esta atualização aborda não apenas CVE-2023-6000, mas também outras vulnerabilidades de segurança que possam existir.

De acordo com estatísticas do WordPress, existem aproximadamente 80.000 sites ativos que ainda usam o Popup Builder versões 4.1 e anteriores. Isto indica uma superfície de ataque substancial que permanece vulnerável. No caso de uma infecção, o processo de remoção envolve a exclusão de quaisquer entradas inseguras presentes nas seções personalizadas do Popup Builder. Além disso, é essencial realizar verificações completas para identificar e remover quaisquer backdoors ocultos que possam levar à reinfecção.