Vulnerabilitat XSS CVE-2023-6000

Els pirates informàtics han compromès els llocs web de WordPress aprofitant una vulnerabilitat que es troba en versions obsoletes del connector Popup Builder. Això ha provocat la infecció de més de 3.300 llocs web amb codi pèssim. La vulnerabilitat, coneguda com CVE-2023-6000, és una vulnerabilitat de cross-site scripting (XSS) que afecta les versions 4.2.3 i anteriors de Popup Builder. Es va donar a conèixer per primera vegada el novembre de 2023.

A principis de 2024, es va descobrir una campanya de Balada Injector, utilitzant aquesta vulnerabilitat específica per infectar més de 6.700 llocs web. Això posa de manifest el fet que molts administradors del lloc no havien aplicat ràpidament pedaços per mitigar el risc. Recentment, els investigadors de seguretat de la informació han identificat una nova campanya que mostra un augment significatiu d'activitat, dirigida a la mateixa vulnerabilitat present al connector de WordPress.

L'evidència suggereix que s'han detectat injeccions de codi associades a aquesta darrera campanya en més de 3.000 llocs de WordPress.

La cadena d'atac que explota la vulnerabilitat XSS CVE-2023-6000

Els atacs infecten les seccions de JavaScript personalitzat o CSS personalitzat de la interfície d'administració de WordPress, mentre que el codi incorrecte s'emmagatzema a la taula de base de dades "wp_postmeta". La funció principal del codi injectat és actuar com a controladors d'esdeveniments per a diversos esdeveniments de complements de Popup Builder, com ara "sgpb-ShouldOpen", "sgpb-ShouldClose", "sgpb-WillOpen", "sgpbDidOpen", "sgpbWillClose" i " sgpb-DidClose.' En fer-ho, el codi incorrecte s'activa per accions específiques del connector, com ara quan s'obre o es tanca una finestra emergent.

Les accions exactes del codi poden variar. Tot i així, sembla que l'objectiu principal de les injeccions és redirigir els visitants de llocs infectats a destinacions insegures, com ara pàgines de pesca i llocs d'eliminació de programari maliciós.

Concretament, en algunes infeccions, els investigadors van observar que el codi injectava una URL de redirecció: "http://ttincoming.traveltraffic.cc/?traffic", com a paràmetre "redirect-url" per a una finestra emergent "contact-form-7". Aleshores, la injecció recupera el fragment de codi dolent d'una font externa i l'injecta a la capçalera de la pàgina web del navegador per a l'execució.

Pràcticament, és possible que els atacants assoleixin una sèrie d'objectius nocius mitjançant aquest mètode, molts poden ser més greus que les redireccions.

Prendre mesures per protegir-se de la vulnerabilitat CVE-2023-6000

Per mitigar eficaçment aquests atacs, s'aconsella bloquejar l'accés des dels dos dominis específics dels quals s'originen els atacs. A més, si utilitzeu el connector Popup Builder al vostre lloc web, és crucial que actualitzeu a la darrera versió, que actualment és la versió 4.2.7. Aquesta actualització no només aborda CVE-2023-6000, sinó també altres vulnerabilitats de seguretat que hi pugui haver.

Segons les estadístiques de WordPress, hi ha aproximadament 80.000 llocs actius que encara fan servir Popup Builder versions 4.1 i anteriors. Això indica una superfície d'atac substancial que segueix sent vulnerable. En cas d'infecció, el procés d'eliminació implica eliminar qualsevol entrada no segura present a les seccions personalitzades del Popup Builder. A més, és essencial dur a terme exploracions exhaustives per identificar i eliminar les portes posteriors ocultes que puguin provocar una reinfecció.