آسیب پذیری CVE-2023-6000 XSS

هکرها با سوء استفاده از آسیب‌پذیری موجود در نسخه‌های قدیمی افزونه Popup Builder، وب‌سایت‌های وردپرس را به خطر می‌اندازند. این منجر به آلوده شدن بیش از 3300 وب سایت با کدهای نامناسب شده است. این آسیب‌پذیری که با نام CVE-2023-6000 شناخته می‌شود، یک آسیب‌پذیری بین سایتی اسکریپت (XSS) است که بر نسخه‌های 4.2.3 و نسخه‌های جدیدتر Popup Builder تأثیر می‌گذارد. اولین بار در نوامبر 2023 فاش شد.

در ابتدای سال 2024، یک کمپین Balada Injector کشف شد که از این آسیب پذیری خاص برای آلوده کردن بیش از 6700 وب سایت استفاده می کرد. این واقعیت را برجسته می کند که بسیاری از مدیران سایت به سرعت وصله هایی را برای کاهش خطر اعمال نکرده بودند. اخیراً، محققان امنیت اطلاعات کمپین جدیدی را شناسایی کرده اند که افزایش قابل توجهی در فعالیت نشان می دهد و همان آسیب پذیری موجود در افزونه وردپرس را هدف قرار می دهد.

شواهد نشان می دهد که تزریق کد مرتبط با این کمپین اخیر در بیش از 3000 سایت وردپرس شناسایی شده است.

استفاده از زنجیره حمله از آسیب پذیری CVE-2023-6000 XSS

حملات، بخش‌های جاوا اسکریپت سفارشی یا CSS سفارشی رابط مدیریت وردپرس را آلوده می‌کنند، در حالی که کد اشتباه در جدول پایگاه داده «wp_postmeta» ذخیره می‌شود. عملکرد اصلی کد تزریق شده این است که به عنوان کنترل کننده رویداد برای رویدادهای مختلف افزونه Popup Builder عمل کند، مانند 'sgpb-ShouldOpen'، 'sgpb-ShouldClose'، 'sgpb-WillOpen'، 'sgpbDidOpen'، 'sgpbWillClose' و ' sgpb-DidClose.' با انجام این کار، کد اشتباه توسط اقدامات خاص افزونه، مانند زمانی که یک پنجره باز یا بسته می شود، راه اندازی می شود.

اقدامات دقیق کد ممکن است متفاوت باشد. با این حال، به نظر می‌رسد هدف اصلی این تزریق‌ها هدایت بازدیدکنندگان سایت‌های آلوده به مقاصد ناامن مانند صفحات فیشینگ و سایت‌های حذف بدافزار باشد.

به طور خاص، در برخی عفونت‌ها، محققان کدی را مشاهده کردند که یک URL تغییر مسیر - "http://ttincoming.traveltraffic.cc/?traffic" را به عنوان پارامتر "redirect-url" برای یک پنجره "contact-form-7" تزریق می‌کند. سپس این تزریق، قطعه کد بد را از یک منبع خارجی بازیابی می کند و آن را برای اجرا به سر صفحه وب مرورگر تزریق می کند.

عملاً، مهاجمان می توانند از طریق این روش به طیف وسیعی از اهداف مضر دست یابند که بسیاری از آنها به طور بالقوه شدیدتر از تغییر مسیرها هستند.

اقداماتی را برای محافظت در برابر آسیب پذیری CVE-2023-6000 انجام دهید

برای کاهش موثر این حملات، توصیه می‌شود دسترسی از دو حوزه خاص که حملات از آنجا شروع می‌شوند مسدود کنید. علاوه بر این، اگر از افزونه Popup Builder در وب سایت خود استفاده می کنید، به روز رسانی به آخرین نسخه، که در حال حاضر نسخه 4.2.7 است، بسیار مهم است. این به‌روزرسانی نه تنها CVE-2023-6000، بلکه آسیب‌پذیری‌های امنیتی دیگری را که ممکن است وجود داشته باشد نیز برطرف می‌کند.

طبق آمار وردپرس، تقریباً 80000 سایت فعال هنوز از Popup Builder نسخه 4.1 و بالاتر استفاده می کنند. این نشان دهنده سطح حمله قابل توجهی است که آسیب پذیر باقی می ماند. در صورت عفونت، فرآیند حذف شامل حذف هرگونه ورودی ناامن موجود در بخش های سفارشی Popup Builder است. علاوه بر این، انجام اسکن های کامل برای شناسایی و حذف هر گونه درب پشتی مخفی که می تواند منجر به عفونت مجدد شود، ضروری است.