CVE-2023-6000 XSS भेद्यता

पॉपअप बिल्डर प्लगइन के पुराने संस्करणों में पाई गई भेद्यता का फायदा उठाकर हैकर्स वर्डप्रेस वेबसाइटों से समझौता कर रहे हैं। इसके परिणामस्वरूप घटिया कोड वाली 3,300 से अधिक वेबसाइटें संक्रमित हो गईं। भेद्यता, जिसे CVE-2023-6000 के रूप में जाना जाता है, एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो पॉपअप बिल्डर संस्करण 4.2.3 और इससे पहले के संस्करणों को प्रभावित करती है। इसका पहली बार खुलासा नवंबर 2023 में हुआ था.

2024 की शुरुआत में, एक बलाडा इंजेक्टर अभियान की खोज की गई, जिसने 6,700 से अधिक वेबसाइटों को संक्रमित करने के लिए इस विशिष्ट भेद्यता का उपयोग किया। यह इस तथ्य को उजागर करता है कि कई साइट प्रशासकों ने जोखिम को कम करने के लिए तुरंत पैच लागू नहीं किए थे। हाल ही में, सूचना सुरक्षा शोधकर्ताओं ने वर्डप्रेस प्लगइन में मौजूद समान भेद्यता को लक्षित करते हुए गतिविधि में उल्लेखनीय वृद्धि प्रदर्शित करने वाले एक नए अभियान की पहचान की है।

साक्ष्य बताते हैं कि इस नवीनतम अभियान से जुड़े कोड इंजेक्शन 3,000 से अधिक वर्डप्रेस साइटों में पाए गए हैं।

आक्रमण श्रृंखला CVE-2023-6000 XSS भेद्यता का शोषण कर रही है

हमले वर्डप्रेस एडमिन इंटरफ़ेस के कस्टम जावास्क्रिप्ट या कस्टम सीएसएस अनुभागों को संक्रमित करते हैं, जबकि गलत कोड 'wp_postmeta' डेटाबेस तालिका में संग्रहीत होता है। इंजेक्ट किए गए कोड का प्राथमिक कार्य विभिन्न पॉपअप बिल्डर प्लगइन इवेंट के लिए इवेंट हैंडलर के रूप में कार्य करना है, जैसे 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose', और ' एसजीपीबी-डिडक्लोज़।' ऐसा करने से, विशिष्ट प्लगइन क्रियाओं द्वारा गलत कोड ट्रिगर हो जाता है, जैसे कि जब कोई पॉपअप खुलता या बंद होता है।

कोड की सटीक क्रियाएं भिन्न हो सकती हैं. फिर भी, इंजेक्शन का प्राथमिक उद्देश्य संक्रमित साइटों के आगंतुकों को फ़िशिंग पेज और मैलवेयर छोड़ने वाली साइटों जैसे असुरक्षित गंतव्यों पर पुनर्निर्देशित करना प्रतीत होता है।

विशेष रूप से, कुछ संक्रमणों में, शोधकर्ताओं ने एक 'संपर्क-फॉर्म -7' पॉपअप के लिए 'रीडायरेक्ट-यूआरएल' पैरामीटर के रूप में एक रीडायरेक्ट यूआरएल - 'http://ttincoming.traveltraffic.cc/?traffic' को इंजेक्ट करने वाले कोड को देखा। फिर इंजेक्शन किसी बाहरी स्रोत से खराब कोड स्निपेट को पुनः प्राप्त करता है और इसे निष्पादन के लिए ब्राउज़र के वेबपेज हेड में इंजेक्ट करता है।

व्यावहारिक रूप से, हमलावरों के लिए इस पद्धति के माध्यम से कई प्रकार के हानिकारक लक्ष्य हासिल करना संभव है, जिनमें से कई संभावित रूप से पुनर्निर्देशन से भी अधिक गंभीर हैं।

CVE-2023-6000 भेद्यता से सुरक्षा के लिए उपाय करें

इन हमलों को प्रभावी ढंग से कम करने के लिए, उन दो विशिष्ट डोमेन से पहुंच को अवरुद्ध करने की सलाह दी जाती है जहां से हमले उत्पन्न होते हैं। इसके अतिरिक्त, यदि आप अपनी वेबसाइट पर पॉपअप बिल्डर प्लगइन का उपयोग कर रहे हैं, तो नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है, जो वर्तमान में संस्करण 4.2.7 है। यह अद्यतन न केवल CVE-2023-6000 बल्कि मौजूद अन्य सुरक्षा कमजोरियों को भी संबोधित करता है।

वर्डप्रेस आंकड़ों के अनुसार, लगभग 80,000 सक्रिय साइटें अभी भी पॉपअप बिल्डर संस्करण 4.1 और पुराने का उपयोग कर रही हैं। यह एक महत्वपूर्ण हमले की सतह को इंगित करता है जो असुरक्षित बनी हुई है। संक्रमण की स्थिति में, हटाने की प्रक्रिया में पॉपअप बिल्डर के कस्टम अनुभागों में मौजूद किसी भी असुरक्षित प्रविष्टि को हटाना शामिल है। इसके अलावा, किसी भी छिपे हुए पिछले दरवाजे को पहचानने और हटाने के लिए पूरी तरह से स्कैन करना आवश्यक है जो पुन: संक्रमण का कारण बन सकता है।