CVE-2023-6000 XSS ranjivost

Hakeri ugrožavaju WordPress web stranice iskorištavajući ranjivost pronađenu u zastarjelim verzijama dodatka Popup Builder. To je rezultiralo infekcijom više od 3300 web stranica s lošim kodom. Ranjivost, poznata kao CVE-2023-6000, je ranjivost cross-site scripting (XSS) koja utječe na Popup Builder verzije 4.2.3 i starije. Prvi put je objavljen u studenom 2023.

Početkom 2024. godine otkrivena je kampanja Balada Injector koja koristi ovu specifičnu ranjivost za zarazu više od 6700 web stranica. Ovo naglašava činjenicu da mnogi administratori web-mjesta nisu odmah primijenili zakrpe kako bi umanjili rizik. Nedavno su istraživači informacijske sigurnosti identificirali novu kampanju koja pokazuje značajan porast aktivnosti, ciljajući na istu ranjivost prisutnu u dodatku za WordPress.

Dokazi sugeriraju da su ubacivanja koda povezana s ovom posljednjom kampanjom otkrivena na više od 3000 WordPress stranica.

Lanac napada koji iskorištava CVE-2023-6000 XSS ranjivost

Napadi inficiraju Custom JavaScript ili Custom CSS odjeljke WordPress administratorskog sučelja, dok se pogrešan kod pohranjuje u tablici baze podataka 'wp_postmeta'. Primarna funkcija umetnutog koda je da djeluje kao rukovatelj događajima za razne događaje dodataka Popup Builder-a, kao što su 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose', i ' sgpb-DidClose.' Na taj način se krivi kôd pokreće određenim radnjama dodatka, primjerice kada se skočni prozor otvori ili zatvori.

Točne radnje koda mogu varirati. Ipak, čini se da je primarna svrha injekcija preusmjeravanje posjetitelja zaraženih web stranica na nesigurna odredišta kao što su stranice za krađu identiteta i web stranice sa zlonamjernim softverom.

Konkretno, u nekim infekcijama istraživači su uočili kod koji ubacuje URL za preusmjeravanje - 'http://ttincoming.traveltraffic.cc/?traffic,' kao parametar 'redirect-url' za skočni prozor 'contact-form-7'. Injekcija zatim dohvaća loš isječak koda iz vanjskog izvora i ubacuje ga u zaglavlje web stranice preglednika radi izvršenja.

Praktično, moguće je da napadači ovom metodom postignu niz štetnih ciljeva, od kojih su mnogi potencijalno teži od preusmjeravanja.

Poduzmite mjere za zaštitu od ranjivosti CVE-2023-6000

Za učinkovito ublažavanje ovih napada, preporučljivo je blokirati pristup s dviju specifičnih domena s kojih napadi potječu. Osim toga, ako na svojoj web stranici koristite dodatak Popup Builder, ključno je izvršiti ažuriranje na najnoviju verziju, koja je trenutno verzija 4.2.7. Ovo ažuriranje ne rješava samo CVE-2023-6000 nego i druge sigurnosne propuste koji mogu postojati.

Prema statistici WordPressa, postoji otprilike 80 000 aktivnih stranica koje još uvijek koriste Popup Builder verzije 4.1 i starije. Ovo ukazuje na značajnu površinu za napad koja ostaje ranjiva. U slučaju infekcije, postupak uklanjanja uključuje brisanje svih nesigurnih unosa prisutnih u prilagođenim odjeljcima Popup Buildera. Štoviše, bitno je provesti temeljita skeniranja kako bi se identificirali i uklonili svi skriveni stražnji ulazi koji bi mogli dovesti do ponovne infekcije.