CVE-2023-6000 XSS-haavoittuvuus

Hakkerit ovat vaarantaneet WordPress-verkkosivustoja hyödyntämällä Popup Builder -laajennuksen vanhentuneiden versioiden haavoittuvuutta. Tämä on johtanut yli 3 300 verkkosivuston saastumiseen surkealla koodilla. Haavoittuvuus, joka tunnetaan nimellä CVE-2023-6000, on sivustojen välisen komentosarjan (XSS) haavoittuvuus, joka vaikuttaa Popup Builderin versioihin 4.2.3 ja sitä vanhempiin. Se julkistettiin ensimmäisen kerran marraskuussa 2023.

Vuoden 2024 alussa löydettiin Balada Injector -kampanja, joka hyödyntää tätä haavoittuvuutta yli 6 700 verkkosivuston tartuttamiseen. Tämä korostaa sitä tosiasiaa, että monet sivuston ylläpitäjät eivät olleet asentaneet viipymättä korjaustiedostoja riskin vähentämiseksi. Äskettäin tietoturvatutkijat ovat havainneet uuden kampanjan, jonka aktiivisuus on lisääntynyt merkittävästi ja joka kohdistuu samaan haavoittuvuuteen kuin WordPress-laajennuksessa.

Todisteet viittaavat siihen, että tähän uusimpaan kampanjaan liittyviä koodin lisäyksiä on havaittu yli 3 000 WordPress-sivustolla.

CVE-2023-6000 XSS-haavoittuvuutta hyödyntävä hyökkäysketju

Hyökkäykset saastuttavat WordPressin järjestelmänvalvojan käyttöliittymän mukautetun JavaScript- tai Custom CSS -osion, kun taas väärä koodi on tallennettu wp_postmeta-tietokantataulukkoon. Lisätyn koodin ensisijainen tehtävä on toimia tapahtumakäsittelijöinä erilaisille Popup Builder -laajennuksen tapahtumille, kuten 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWill' sgpb-DidClose. Näin tekemällä tietyt laajennustoiminnot käynnistävät väärän koodin, kuten ponnahdusikkunan avautuessa tai sulkeutuessa.

Koodin tarkat toiminnot voivat vaihdella. Silti ruiskeiden ensisijainen tarkoitus näyttää olevan tartunnan saaneiden sivustojen vierailijoiden ohjaaminen turvattomiin kohteisiin, kuten tietojenkalastelusivuille ja haittaohjelmia poistaville sivustoille.

Erityisesti joissakin infektioissa tutkijat havaitsivat koodin syöttävän uudelleenohjaus-URL-osoitteen - "http://ttincoming.traveltraffic.cc/?traffic" "contact-form-7" -ponnahdusikkunan "redirect-url"-parametriksi. Injektio hakee sitten virheellisen koodinpätkän ulkoisesta lähteestä ja syöttää sen selaimen verkkosivun päähän suorittamista varten.

Käytännössä hyökkääjät voivat saavuttaa useita haitallisia tavoitteita tällä menetelmällä, joista monet voivat olla vakavampia kuin uudelleenohjaukset.

Ryhdy toimenpiteisiin suojautuaksesi CVE-2023-6000-haavoittuvuudella

Näiden hyökkäysten vähentämiseksi tehokkaasti on suositeltavaa estää pääsy kahdelta tietyltä verkkotunnukselta, joista hyökkäykset ovat peräisin. Lisäksi, jos käytät Popup Builder -laajennusta verkkosivustollasi, on tärkeää päivittää uusimpaan versioon, joka on tällä hetkellä versio 4.2.7. Tämä päivitys ei korjaa vain CVE-2023-6000:ta vaan myös muita mahdollisesti olemassa olevia tietoturva-aukkoja.

WordPressin tilastojen mukaan noin 80 000 aktiivista sivustoa käyttää edelleen Popup Builderin versiota 4.1 tai vanhempia. Tämä osoittaa merkittävän hyökkäyspinnan, joka on edelleen haavoittuvainen. Tartunnan sattuessa poistoprosessi sisältää kaikkien Popup Builderin mukautetuissa osioissa olevien vaarallisten merkintöjen poistamisen. Lisäksi on välttämätöntä suorittaa perusteelliset skannaukset, jotta voidaan tunnistaa ja poistaa piilotetut takaovet, jotka voivat johtaa uudelleentartunnan saamiseen.