CVE-2023-6000 XSS-sårbarhed

Hackere har kompromitteret WordPress-websteder ved at udnytte en sårbarhed, der findes i forældede versioner af Popup Builder-pluginnet. Dette har resulteret i infektion af over 3.300 websteder med elendig kode. Sårbarheden, kendt som CVE-2023-6000, er en cross-site scripting (XSS) sårbarhed, der påvirker Popup Builder version 4.2.3 og tidligere. Det blev først offentliggjort i november 2023.

I begyndelsen af 2024 blev en Balada Injector-kampagne opdaget, der udnyttede denne specifikke sårbarhed til at inficere mere end 6.700 websteder. Dette fremhæver det faktum, at mange webstedsadministratorer ikke straks havde anvendt programrettelser for at mindske risikoen. For nylig har informationssikkerhedsforskere identificeret en ny kampagne, der udviser en betydelig stigning i aktiviteten, rettet mod den samme sårbarhed, som findes i WordPress-plugin'et.

Beviser tyder på, at kodeindsprøjtninger forbundet med denne seneste kampagne er blevet opdaget på over 3.000 WordPress-websteder.

Angrebskæden, der udnytter CVE-2023-6000 XSS-sårbarheden

Angrebene inficerer WordPress-admingrænsefladens Custom JavaScript- eller Custom CSS-sektioner, mens den forkerte kode er gemt i 'wp_postmeta'-databasetabellen. Den primære funktion af den injicerede kode er at fungere som hændelseshandlere for forskellige Popup Builder-plugin-hændelser, såsom 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' og ' sgpb-DidClose.' Ved at gøre det udløses den forkerte kode af specifikke plugin-handlinger, som når en popup åbner eller lukker.

De nøjagtige handlinger af koden kan variere. Alligevel ser det primære formål med injektionerne ud til at være at omdirigere besøgende på inficerede websteder til usikre destinationer såsom phishing-sider og websteder, der fjerner malware.

Specifikt i nogle infektioner observerede forskerne, at koden injicerede en omdirigerings-URL - 'http://ttincoming.traveltraffic.cc/?traffic' som 'redirect-url'-parameteren for en 'contact-form-7' popup. Indsprøjtningen henter derefter det dårlige kodestykke fra en ekstern kilde og injicerer det i browserens websidehoved til udførelse.

I praksis er det muligt for angriberne at opnå en række skadelige mål gennem denne metode, hvoraf mange potentielt er mere alvorlige end omdirigeringer.

Træf foranstaltninger for at beskytte mod CVE-2023-6000-sårbarheden

For effektivt at afbøde disse angreb, er det tilrådeligt at blokere adgang fra de to specifikke domæner, som angrebene stammer fra. Derudover, hvis du bruger Popup Builder-pluginnet på dit websted, er det afgørende at opdatere til den seneste version, som i øjeblikket er version 4.2.7. Denne opdatering adresserer ikke kun CVE-2023-6000, men også andre sikkerhedssårbarheder, der kan eksistere.

Ifølge WordPress-statistikker er der cirka 80.000 aktive sider, der stadig bruger Popup Builder version 4.1 og ældre. Dette indikerer en betydelig angrebsoverflade, der forbliver sårbar. I tilfælde af en infektion involverer fjernelsesprocessen sletning af eventuelle usikre poster, der findes i Popup Builders brugerdefinerede sektioner. Desuden er det vigtigt at udføre grundige scanninger for at identificere og fjerne eventuelle skjulte bagdøre, der kan føre til geninfektion.