Ευπάθεια CVE-2023-6000 XSS
Οι χάκερ έχουν θέσει σε κίνδυνο ιστότοπους του WordPress εκμεταλλευόμενοι μια ευπάθεια που εντοπίζεται σε παλιές εκδόσεις της προσθήκης Popup Builder. Αυτό είχε ως αποτέλεσμα να μολυνθούν πάνω από 3.300 ιστότοποι με κακό κώδικα. Η ευπάθεια, γνωστή ως CVE-2023-6000, είναι μια ευπάθεια μεταξύ ιστοτόπων δέσμης ενεργειών (XSS) που επηρεάζει τις εκδόσεις 4.2.3 και προγενέστερες του Αναδυόμενου Builder. Αποκαλύφθηκε για πρώτη φορά τον Νοέμβριο του 2023.
Στις αρχές του 2024, ανακαλύφθηκε μια καμπάνια Balada Injector, η οποία χρησιμοποιεί αυτή τη συγκεκριμένη ευπάθεια για να μολύνει περισσότερους από 6.700 ιστότοπους. Αυτό υπογραμμίζει το γεγονός ότι πολλοί διαχειριστές τοποθεσιών δεν είχαν εφαρμόσει εγκαίρως ενημερώσεις κώδικα για να μετριάσουν τον κίνδυνο. Πρόσφατα, ερευνητές ασφάλειας πληροφοριών εντόπισαν μια νέα καμπάνια που παρουσιάζει σημαντική αύξηση στη δραστηριότητα, στοχεύοντας την ίδια ευπάθεια που υπάρχει στην προσθήκη WordPress.
Τα στοιχεία δείχνουν ότι ενέσεις κώδικα που σχετίζονται με αυτήν την τελευταία καμπάνια έχουν εντοπιστεί σε πάνω από 3.000 ιστότοπους WordPress.
Η αλυσίδα επίθεσης που εκμεταλλεύεται την ευπάθεια CVE-2023-6000 XSS
Οι επιθέσεις μολύνουν τις ενότητες Προσαρμοσμένης JavaScript ή Προσαρμοσμένης CSS της διεπαφής διαχειριστή WordPress, ενώ ο λάθος κώδικας αποθηκεύεται στον πίνακα βάσης δεδομένων 'wp_postmeta'. Η κύρια λειτουργία του κώδικα που εισάγεται είναι να λειτουργεί ως χειριστές συμβάντων για διάφορα συμβάντα πρόσθετων αναδυόμενων παραθύρων, όπως 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' και ' sgpb-DidClose.' Κάνοντας αυτό, ο λάθος κώδικας ενεργοποιείται από συγκεκριμένες ενέργειες πρόσθετων, όπως όταν ανοίγει ή κλείνει ένα αναδυόμενο παράθυρο.
Οι ακριβείς ενέργειες του κώδικα ενδέχεται να διαφέρουν. Ωστόσο, ο πρωταρχικός σκοπός των ενέσεων φαίνεται να είναι η ανακατεύθυνση των επισκεπτών των μολυσμένων τοποθεσιών σε μη ασφαλείς προορισμούς, όπως οι σελίδες ηλεκτρονικού "ψαρέματος" και οι ιστότοποι που παρουσιάζουν κακόβουλο λογισμικό.
Συγκεκριμένα, σε ορισμένες μολύνσεις, οι ερευνητές παρατήρησαν τον κώδικα που εισάγει μια διεύθυνση URL ανακατεύθυνσης - «http://ttincoming.traveltraffic.cc/?traffic», ως την παράμετρο «redirect-url» για ένα αναδυόμενο παράθυρο «contact-form-7». Στη συνέχεια, η ένεση ανακτά το απόσπασμα κακού κώδικα από μια εξωτερική πηγή και το εισάγει στην κεφαλή της ιστοσελίδας του προγράμματος περιήγησης για εκτέλεση.
Πρακτικά, είναι δυνατό για τους επιτιθέμενους να επιτύχουν μια σειρά επιβλαβών στόχων μέσω αυτής της μεθόδου, πολλοί από τους οποίους είναι δυνητικά πιο σοβαροί από τις ανακατευθύνσεις.
Λάβετε μέτρα για την προστασία από την ευπάθεια CVE-2023-6000
Για να μετριαστούν αποτελεσματικά αυτές οι επιθέσεις, συνιστάται να αποκλείσετε την πρόσβαση από τους δύο συγκεκριμένους τομείς από τους οποίους προέρχονται οι επιθέσεις. Επιπλέον, εάν χρησιμοποιείτε την προσθήκη Popup Builder στον ιστότοπό σας, είναι σημαντικό να κάνετε ενημέρωση στην πιο πρόσφατη έκδοση, η οποία είναι επί του παρόντος η έκδοση 4.2.7. Αυτή η ενημερωμένη έκδοση δεν αντιμετωπίζει μόνο το CVE-2023-6000 αλλά και άλλες ευπάθειες ασφαλείας που ενδέχεται να υπάρχουν.
Σύμφωνα με στατιστικά στοιχεία του WordPress, υπάρχουν περίπου 80.000 ενεργοί ιστότοποι που εξακολουθούν να χρησιμοποιούν εκδόσεις 4.1 και παλαιότερες του Αναδυόμενου προγράμματος δημιουργίας. Αυτό υποδεικνύει μια σημαντική επιφάνεια επίθεσης που παραμένει ευάλωτη. Σε περίπτωση μόλυνσης, η διαδικασία αφαίρεσης περιλαμβάνει τη διαγραφή τυχόν μη ασφαλών καταχωρήσεων που υπάρχουν στις προσαρμοσμένες ενότητες του Αναδυόμενου Builder. Επιπλέον, είναι απαραίτητο να διεξάγετε ενδελεχείς σαρώσεις για να εντοπίσετε και να αφαιρέσετε τυχόν κρυμμένες κερκόπορτες που θα μπορούσαν να οδηγήσουν σε εκ νέου μόλυνση.
