ثغرة أمنية CVE-2023-6000 XSS
قام المتسللون باختراق مواقع WordPress من خلال استغلال الثغرة الأمنية الموجودة في الإصدارات القديمة من المكون الإضافي Popup Builder. وقد أدى ذلك إلى إصابة أكثر من 3300 موقع ويب برموز رديئة. الثغرة الأمنية، المعروفة باسم CVE-2023-6000، هي ثغرة أمنية في البرمجة النصية عبر المواقع (XSS) تؤثر على إصدارات Popup Builder 4.2.3 والإصدارات السابقة. تم الكشف عنه لأول مرة في نوفمبر 2023.
وفي بداية عام 2024، تم اكتشاف حملة Balada Injector، التي استخدمت هذه الثغرة الأمنية المحددة لإصابة أكثر من 6700 موقع ويب. وهذا يسلط الضوء على حقيقة أن العديد من مسؤولي الموقع لم يطبقوا التصحيحات على الفور للتخفيف من المخاطر. في الآونة الأخيرة، حدد باحثو أمن المعلومات حملة جديدة تظهر زيادة كبيرة في النشاط، وتستهدف نفس الثغرة الأمنية الموجودة في مكون WordPress الإضافي.
تشير الأدلة إلى أنه تم اكتشاف عمليات حقن التعليمات البرمجية المرتبطة بهذه الحملة الأخيرة في أكثر من 3000 موقع WordPress.
سلسلة الهجوم تستغل ثغرة XSS CVE-2023-6000
تصيب الهجمات أقسام JavaScript أو Custom CSS المخصصة لواجهة إدارة WordPress، بينما يتم تخزين الكود الخاطئ في جدول قاعدة البيانات "wp_postmeta". تتمثل الوظيفة الأساسية للتعليمات البرمجية المحقونة في العمل كمعالجات للأحداث لمختلف أحداث البرنامج المساعد Popup Builder، مثل 'sgpb-ShouldOpen'، و'sgpb-ShouldClose'، و'sgpb-WillOpen'، و'sgpbDidOpen'، و'sgpbWillClose'، و' sgpb-DidClose.' ومن خلال القيام بذلك، يتم تشغيل التعليمات البرمجية الخاطئة من خلال إجراءات مكون إضافي محدد، مثل عند فتح نافذة منبثقة أو إغلاقها.
قد تختلف الإجراءات الدقيقة للتعليمات البرمجية. ومع ذلك، يبدو أن الغرض الأساسي من عمليات الحقن هو إعادة توجيه زوار المواقع المصابة إلى وجهات غير آمنة مثل صفحات التصيد الاحتيالي ومواقع إسقاط البرامج الضارة.
على وجه التحديد، في بعض حالات الإصابة، لاحظ الباحثون الكود الذي يقوم بإدخال عنوان URL لإعادة التوجيه - "http://ttincoming.traveltraffic.cc/?traffic"، كمعلمة "redirect-url" لنافذة "contact-form-7" المنبثقة. يقوم الحقن بعد ذلك باسترداد مقتطف التعليمات البرمجية السيئ من مصدر خارجي وإدخاله في رأس صفحة الويب بالمتصفح للتنفيذ.
من الناحية العملية، من الممكن للمهاجمين تحقيق مجموعة من الأهداف الضارة من خلال هذه الطريقة، ومن المحتمل أن يكون الكثير منها أكثر خطورة من عمليات إعادة التوجيه.
اتخذ التدابير اللازمة للحماية من الثغرة الأمنية CVE-2023-6000
للتخفيف من حدة هذه الهجمات بشكل فعال، يُنصح بحظر الوصول من النطاقين المحددين اللذين تنشأ منهما الهجمات. بالإضافة إلى ذلك، إذا كنت تستخدم المكون الإضافي Popup Builder على موقع الويب الخاص بك، فمن الضروري التحديث إلى الإصدار الأحدث، وهو الإصدار حاليًا 4.2.7. لا يعالج هذا التحديث CVE-2023-6000 فحسب، بل يعالج أيضًا الثغرات الأمنية الأخرى التي قد تكون موجودة.
وفقًا لإحصائيات WordPress، هناك ما يقرب من 80000 موقع نشط لا يزال يستخدم الإصدار 4.1 من Popup Builder والإصدارات الأقدم. يشير هذا إلى وجود سطح هجوم كبير لا يزال عرضة للخطر. في حالة حدوث إصابة، تتضمن عملية الإزالة حذف أي إدخالات غير آمنة موجودة في الأقسام المخصصة في Popup Builder. علاوة على ذلك، من الضروري إجراء عمليات فحص شاملة لتحديد وإزالة أي أبواب خلفية مخفية قد تؤدي إلى الإصابة مرة أخرى.
