Chyba zabezpečení CVE-2023-6000 XSS

Hackeři kompromitovali weby WordPress tím, že využívali zranitelnosti nalezené v zastaralých verzích pluginu Popup Builder. To vedlo k infekci více než 3 300 webových stránek mizerným kódem. Tato chyba zabezpečení, známá jako CVE-2023-6000, je chyba zabezpečení týkající se skriptování mezi weby (XSS), která ovlivňuje Popup Builder verze 4.2.3 a starší. Poprvé byl odhalen v listopadu 2023.

Na začátku roku 2024 byla objevena kampaň Balada Injector využívající tuto specifickou zranitelnost k infikování více než 6 700 webových stránek. To podtrhuje skutečnost, že mnoho správců stránek včas neaplikovalo záplaty ke zmírnění rizika. Výzkumníci v oblasti informační bezpečnosti nedávno identifikovali novou kampaň vykazující výrazný nárůst aktivity, která se zaměřuje na stejnou zranitelnost, jakou má plugin WordPress.

Důkazy naznačují, že vkládání kódu spojené s touto nejnovější kampaní bylo zjištěno na více než 3 000 webech WordPress.

The Attack Chain zneužívání chyby zabezpečení CVE-2023-6000 XSS

Útoky infikují sekce Custom JavaScript nebo Custom CSS v administrátorském rozhraní WordPress, zatímco v databázové tabulce 'wp_postmeta' je uložen nesprávný kód. Primární funkcí vloženého kódu je fungovat jako obsluha událostí pro různé události pluginu Popup Builder, jako jsou 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpb'WillClose' a sgpb-DidClose.' Tím se nesprávný kód spustí konkrétními akcemi pluginu, jako když se otevře nebo zavře vyskakovací okno.

Přesné akce kódu se mohou lišit. Přesto se zdá, že primárním účelem injekcí je přesměrování návštěvníků infikovaných stránek na nebezpečné cíle, jako jsou phishingové stránky a stránky s vypouštěním malwaru.

Konkrétně u některých infekcí výzkumníci pozorovali, jak kód vkládá přesměrovací URL – 'http://ttincoming.traveltraffic.cc/?traffic' jako parametr 'redirect-url' pro vyskakovací okno 'contact-form-7'. Injekce pak načte špatný úryvek kódu z externího zdroje a vloží jej do hlavy webové stránky prohlížeče, kde se spustí.

Prakticky je možné, aby útočníci touto metodou dosáhli řady škodlivých cílů, z nichž mnohé jsou potenciálně závažnější než přesměrování.

Přijměte opatření k ochraně před zranitelností CVE-2023-6000

Pro účinné zmírnění těchto útoků je vhodné zablokovat přístup ze dvou konkrétních domén, ze kterých útoky pocházejí. Kromě toho, pokud na svém webu používáte plugin Popup Builder, je důležité aktualizovat na nejnovější verzi, která je aktuálně verze 4.2.7. Tato aktualizace řeší nejen CVE-2023-6000, ale také další bezpečnostní chyby, které mohou existovat.

Podle statistik WordPress existuje přibližně 80 000 aktivních stránek, které stále používají Popup Builder verze 4.1 a starší. To ukazuje na značnou útočnou plochu, která zůstává zranitelná. V případě infekce proces odstranění zahrnuje odstranění všech nebezpečných položek přítomných ve vlastních sekcích Tvůrce vyskakovacích oken. Kromě toho je nezbytné provést důkladné skenování, aby bylo možné identifikovat a odstranit všechna skrytá zadní vrátka, která by mohla vést k reinfekci.