CVE-2023-6000 XSS haavatavus
Häkkerid on ohustanud WordPressi veebisaite, kasutades ära pistikprogrammi Popup Builder vananenud versioonides leitud haavatavust. Selle tulemusena on nakatatud üle 3300 veebisaidi nilbe koodiga. Haavatavus, tuntud kui CVE-2023-6000, on saidiülese skriptimise (XSS) haavatavus, mis mõjutab Popup Builderi versioone 4.2.3 ja varasemaid. See avalikustati esmakordselt 2023. aasta novembris.
2024. aasta alguses avastati Balada Injectori kampaania, mis kasutas seda konkreetset haavatavust rohkem kui 6700 veebisaidi nakatamiseks. See rõhutab tõsiasja, et paljud saidi administraatorid ei olnud riski maandamiseks plaastreid kohe rakendanud. Hiljuti on infoturbe uurijad tuvastanud uue kampaania, mille aktiivsus on märkimisväärselt suurenenud ja mis on suunatud samale haavatavusele, mis on WordPressi pistikprogrammis.
Tõendid näitavad, et selle viimase kampaaniaga seotud koodisüstid on tuvastatud enam kui 3000 WordPressi saidil.
CVE-2023-6000 XSS-i haavatavust ära kasutav rünnakuahel
Rünnakud nakatavad WordPressi administraatoriliidese kohandatud JavaScripti või kohandatud CSS-i jaotisi, samas kui andmebaasi tabelisse 'wp_postmeta' salvestatakse vale kood. Sisestatud koodi peamine funktsioon on toimida sündmuste käitlejatena erinevate hüpikakende koostaja pistikprogrammi sündmuste jaoks, nagu 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWill' sgpb-DidClose. Seda tehes käivitavad konkreetsed pistikprogrammi toimingud, näiteks hüpikakna avanemine või sulgemine, vale koodi.
Koodi täpsed toimingud võivad erineda. Sellegipoolest näib süstide peamine eesmärk olevat nakatunud saitide külastajate suunamine ebaturvalistele sihtkohtadele, nagu andmepüügilehed ja pahavara eemaldavad saidid.
Täpsemalt, mõnede infektsioonide puhul täheldasid teadlased, et kood sisestas ümbersuunamis-URL-i – „http://ttincoming.traveltraffic.cc/?traffic” kui „contact-form-7” hüpikakna „redirect-url” parameetrit. Seejärel hangib süstimine välisest allikast halva koodilõigu ja sisestab selle täitmiseks brauseri veebilehe päisesse.
Praktiliselt on ründajatel võimalik selle meetodi abil saavutada mitmeid kahjulikke eesmärke, millest paljud võivad olla rängemad kui ümbersuunamised.
Võtke meetmeid, et kaitsta end haavatavuse CVE-2023-6000 eest
Nende rünnakute tõhusaks leevendamiseks on soovitatav blokeerida juurdepääs kahest konkreetsest domeenist, kust rünnakud pärinevad. Lisaks, kui kasutate oma veebisaidil pistikprogrammi Popup Builder, on ülioluline värskendada uusimale versioonile, mis on praegu versioon 4.2.7. See värskendus ei käsitle mitte ainult CVE-2023-6000, vaid ka muid võimalikke turvanõrkusi.
WordPressi statistika kohaselt on umbes 80 000 aktiivset saiti, mis kasutavad endiselt Popup Builderi versioone 4.1 ja vanemaid. See viitab olulisele rünnakupinnale, mis jääb haavatavaks. Nakatumise korral hõlmab eemaldamisprotsess hüpikakende koostaja kohandatud jaotistes olevate ebaturvaliste kirjete kustutamist. Lisaks on oluline läbi viia põhjalik skaneerimine, et tuvastada ja eemaldada kõik peidetud tagauksed, mis võivad põhjustada uuesti nakatumist.
