CVE-2023-6000 XSS уязвимост

Хакерите са компрометирали уебсайтове на WordPress, като са използвали уязвимост, открита в остарели версии на приставката Popup Builder. Това доведе до заразяване на над 3300 уебсайта с скапан код. Уязвимостта, известна като CVE-2023-6000, е уязвимост между сайтови скриптове (XSS), засягаща Popup Builder версии 4.2.3 и по-стари. За първи път беше разкрит през ноември 2023 г.

В началото на 2024 г. беше открита кампания Balada Injector, която използва тази специфична уязвимост, за да зарази повече от 6700 уебсайта. Това подчертава факта, че много администратори на сайтове не са приложили своевременно корекции за смекчаване на риска. Наскоро изследователи по информационна сигурност идентифицираха нова кампания, показваща значително увеличение на активността, насочена към същата уязвимост, присъстваща в приставката за WordPress.

Доказателствата сочат, че инжектирането на код, свързано с тази последна кампания, е открито в над 3000 сайта на WordPress.

Веригата от атаки, използваща уязвимостта на CVE-2023-6000 XSS

Атаките заразяват Custom JavaScript или Custom CSS секциите на администраторския интерфейс на WordPress, докато грешният код се съхранява в таблицата на базата данни „wp_postmeta“. Основната функция на инжектирания код е да действа като манипулатори на събития за различни събития на плъгини на Popup Builder, като 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' и ' sgpb-DidClose.' Правейки това, грешният код се задейства от конкретни действия на плъгина, като например когато се отваря или затваря изскачащ прозорец.

Точните действия на кода може да варират. Все пак основната цел на инжекциите изглежда е пренасочване на посетителите на заразени сайтове към опасни дестинации като фишинг страници и сайтове за пускане на зловреден софтуер.

По-конкретно, при някои инфекции изследователите са наблюдавали кода, който инжектира URL за пренасочване - „http://ttincoming.traveltraffic.cc/?traffic“, като параметър „redirect-url“ за изскачащ прозорец „contact-form-7“. След това инжекцията извлича лошия кодов фрагмент от външен източник и го инжектира в главата на уеб страницата на браузъра за изпълнение.

На практика е възможно нападателите да постигнат набор от вредни цели чрез този метод, много от които потенциално са по-тежки от пренасочванията.

Вземете мерки за защита срещу уязвимостта CVE-2023-6000

За ефективно смекчаване на тези атаки е препоръчително да блокирате достъпа от двата конкретни домейна, от които произхождат атаките. Освен това, ако използвате приставката Popup Builder на уебсайта си, е изключително важно да актуализирате до най-новата версия, която в момента е версия 4.2.7. Тази актуализация адресира не само CVE-2023-6000, но и други уязвимости в сигурността, които може да съществуват.

Според статистиката на WordPress има приблизително 80 000 активни сайта, които все още използват Popup Builder версии 4.1 и по-стари. Това показва значителна повърхност за атака, която остава уязвима. В случай на инфекция, процесът на премахване включва изтриване на всички опасни записи, налични в персонализираните секции на Popup Builder. Освен това е важно да се извършват щателни сканирания, за да се идентифицират и премахнат всички скрити задни вратички, които биха могли да доведат до повторно заразяване.