פגיעות CVE-2023-6000 XSS

האקרים התפשרו על אתרי וורדפרס על ידי ניצול פגיעות שנמצאה בגרסאות מיושנות של הפלאגין Popup Builder. זה הביא להדבקה של למעלה מ-3,300 אתרים בקוד עלוב. הפגיעות, הידועה בשם CVE-2023-6000, היא פגיעות סקריפטים חוצה אתרים (XSS) המשפיעה על בונה פופ-אפ בגרסאות 4.2.3 ואילך. הוא נחשף לראשונה בנובמבר 2023.

בתחילת 2024, התגלה מסע פרסום של Balada Injector, המנצל את הפגיעות הספציפית הזו כדי להדביק יותר מ-6,700 אתרים. זה מדגיש את העובדה שמנהלי אתרים רבים לא הפעילו תיקונים מיידית כדי להפחית את הסיכון. לאחרונה, חוקרי אבטחת מידע זיהו קמפיין חדש המציג עלייה משמעותית בפעילות, המכוון לאותה נקודת תורפה הקיימת בתוסף וורדפרס.

עדויות מצביעות על כך שהזרקות קוד הקשורות למסע הפרסום האחרון הזה זוהו ביותר מ-3,000 אתרי וורדפרס.

שרשרת ההתקפה מנצלת את הפגיעות של CVE-2023-6000 XSS

ההתקפות מדביקות את הקטעים Custom JavaScript או Custom CSS של ממשק הניהול של WordPress, בעוד שהקוד השגוי מאוחסן בטבלת מסד הנתונים 'wp_postmeta'. הפונקציה העיקרית של הקוד המוזרק היא לפעול כמטפלים באירועים עבור אירועי פלאגין Popup Builder שונים, כגון 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' ו-' sgpb-DidClose.' על ידי כך, הקוד השגוי מופעל על ידי פעולות פלאגין ספציפיות, כמו כאשר נפתח או נסגר חלון קופץ.

הפעולות המדויקות של הקוד עשויות להשתנות. ובכל זאת, נראה שהמטרה העיקרית של ההזרקות היא הפניית מבקרים באתרים נגועים ליעדים לא בטוחים כמו דפי פישינג ואתרים שמסירים תוכנות זדוניות.

באופן ספציפי, בחלק מהזיהומים, החוקרים צפו בקוד שמכניס כתובת אתר להפניה מחדש - 'http://ttincoming.traveltraffic.cc/?traffic' כפרמטר 'כתובת אתר להפניה' עבור חלון קופץ של 'טופס-צור קשר-7'. לאחר מכן, ההזרקה מאחזרת את קטע הקוד השגוי ממקור חיצוני ומחדירה אותו לראש דף האינטרנט של הדפדפן לצורך ביצוע.

באופן מעשי, התוקפים יכולים להשיג מגוון של מטרות מזיקות באמצעות שיטה זו, רבים עלולים להיות חמורים יותר מהפניות מחדש.

נקוט באמצעים כדי להגן מפני הפגיעות של CVE-2023-6000

כדי לצמצם ביעילות את ההתקפות הללו, מומלץ לחסום את הגישה משני הדומיינים הספציפיים מהם נובעות ההתקפות. בנוסף, אם אתה משתמש בתוסף Popup Builder באתר האינטרנט שלך, חיוני לעדכן לגרסה האחרונה, שהיא כרגע גרסה 4.2.7. עדכון זה מטפל לא רק ב-CVE-2023-6000, אלא גם בפרצות אבטחה אחרות שעלולות להתקיים.

לפי הסטטיסטיקה של וורדפרס, ישנם כ-80,000 אתרים פעילים שעדיין משתמשים ב-Popup Builder גרסאות 4.1 ומעלה. זה מצביע על משטח התקפה משמעותי שנותר פגיע. במקרה של זיהום, תהליך ההסרה כולל מחיקת כל ערכים לא בטוחים שנמצאים בחלקים המותאמים אישית של בונה הקופצים. יתר על כן, חיוני לבצע סריקות יסודיות כדי לזהות ולהסיר דלתות אחוריות נסתרות שעלולות להוביל להדבקה מחדש.