آسیب پذیری CVE-2023-6000 XSS
هکرها با سوء استفاده از آسیبپذیری موجود در نسخههای قدیمی افزونه Popup Builder، وبسایتهای وردپرس را به خطر میاندازند. این منجر به آلوده شدن بیش از 3300 وب سایت با کدهای نامناسب شده است. این آسیبپذیری که با نام CVE-2023-6000 شناخته میشود، یک آسیبپذیری بین سایتی اسکریپت (XSS) است که بر نسخههای 4.2.3 و نسخههای جدیدتر Popup Builder تأثیر میگذارد. اولین بار در نوامبر 2023 فاش شد.
در ابتدای سال 2024، یک کمپین Balada Injector کشف شد که از این آسیب پذیری خاص برای آلوده کردن بیش از 6700 وب سایت استفاده می کرد. این واقعیت را برجسته می کند که بسیاری از مدیران سایت به سرعت وصله هایی را برای کاهش خطر اعمال نکرده بودند. اخیراً، محققان امنیت اطلاعات کمپین جدیدی را شناسایی کرده اند که افزایش قابل توجهی در فعالیت نشان می دهد و همان آسیب پذیری موجود در افزونه وردپرس را هدف قرار می دهد.
شواهد نشان می دهد که تزریق کد مرتبط با این کمپین اخیر در بیش از 3000 سایت وردپرس شناسایی شده است.
استفاده از زنجیره حمله از آسیب پذیری CVE-2023-6000 XSS
حملات، بخشهای جاوا اسکریپت سفارشی یا CSS سفارشی رابط مدیریت وردپرس را آلوده میکنند، در حالی که کد اشتباه در جدول پایگاه داده «wp_postmeta» ذخیره میشود. عملکرد اصلی کد تزریق شده این است که به عنوان کنترل کننده رویداد برای رویدادهای مختلف افزونه Popup Builder عمل کند، مانند 'sgpb-ShouldOpen'، 'sgpb-ShouldClose'، 'sgpb-WillOpen'، 'sgpbDidOpen'، 'sgpbWillClose' و ' sgpb-DidClose.' با انجام این کار، کد اشتباه توسط اقدامات خاص افزونه، مانند زمانی که یک پنجره باز یا بسته می شود، راه اندازی می شود.
اقدامات دقیق کد ممکن است متفاوت باشد. با این حال، به نظر میرسد هدف اصلی این تزریقها هدایت بازدیدکنندگان سایتهای آلوده به مقاصد ناامن مانند صفحات فیشینگ و سایتهای حذف بدافزار باشد.
به طور خاص، در برخی عفونتها، محققان کدی را مشاهده کردند که یک URL تغییر مسیر - "http://ttincoming.traveltraffic.cc/?traffic" را به عنوان پارامتر "redirect-url" برای یک پنجره "contact-form-7" تزریق میکند. سپس این تزریق، قطعه کد بد را از یک منبع خارجی بازیابی می کند و آن را برای اجرا به سر صفحه وب مرورگر تزریق می کند.
عملاً، مهاجمان می توانند از طریق این روش به طیف وسیعی از اهداف مضر دست یابند که بسیاری از آنها به طور بالقوه شدیدتر از تغییر مسیرها هستند.
اقداماتی را برای محافظت در برابر آسیب پذیری CVE-2023-6000 انجام دهید
برای کاهش موثر این حملات، توصیه میشود دسترسی از دو حوزه خاص که حملات از آنجا شروع میشوند مسدود کنید. علاوه بر این، اگر از افزونه Popup Builder در وب سایت خود استفاده می کنید، به روز رسانی به آخرین نسخه، که در حال حاضر نسخه 4.2.7 است، بسیار مهم است. این بهروزرسانی نه تنها CVE-2023-6000، بلکه آسیبپذیریهای امنیتی دیگری را که ممکن است وجود داشته باشد نیز برطرف میکند.
طبق آمار وردپرس، تقریباً 80000 سایت فعال هنوز از Popup Builder نسخه 4.1 و بالاتر استفاده می کنند. این نشان دهنده سطح حمله قابل توجهی است که آسیب پذیر باقی می ماند. در صورت عفونت، فرآیند حذف شامل حذف هرگونه ورودی ناامن موجود در بخش های سفارشی Popup Builder است. علاوه بر این، انجام اسکن های کامل برای شناسایی و حذف هر گونه درب پشتی مخفی که می تواند منجر به عفونت مجدد شود، ضروری است.