CVE-2023-6000 XSS biztonsági rés

A hackerek a Popup Builder beépülő modul elavult verzióiban található sebezhetőséget kihasználva kompromittálták a WordPress webhelyeket. Ennek eredményeként több mint 3300 webhelyet fertőztek meg rossz kóddal. A CVE-2023-6000 néven ismert biztonsági rés egy XSS (cross-site scripting) biztonsági rés, amely a Popup Builder 4.2.3-as és korábbi verzióit érinti. Először 2023 novemberében hozták nyilvánosságra.

2024 elején egy Balada Injector kampányt fedeztek fel, amely ezt a sérülékenységet használta több mint 6700 webhely megfertőzésére. Ez rávilágít arra a tényre, hogy sok webhely rendszergazdája nem alkalmazott azonnal javításokat a kockázat csökkentése érdekében. A közelmúltban az információbiztonsági kutatók egy új kampányt azonosítottak, amely jelentősen megnövekedett aktivitást mutat, és ugyanazt a sebezhetőséget célozza meg, mint a WordPress beépülő modulban.

A bizonyítékok arra utalnak, hogy a legújabb kampányhoz kapcsolódó kódbefecskendezést több mint 3000 WordPress-webhelyen észleltek.

A CVE-2023-6000 XSS sebezhetőséget kihasználó támadási lánc

A támadások megfertőzik a WordPress adminisztrációs felületének Custom JavaScript vagy Custom CSS szakaszait, miközben rossz kódot tárolnak a 'wp_postmeta' adatbázistáblában. A beszúrt kód elsődleges funkciója, hogy eseménykezelőként működjön a különböző Popup Builder beépülő modul eseményekhez, mint például az „sgpb-ShouldOpen”, „sgpb-ShouldClose”, „sgpb-WillOpen”, „sgpbDidOpen”, „sgpbWillClose” sgpb-DidClose. Ezzel a beépülő modul adott műveletei rossz kódot váltanak ki, például amikor egy felugró ablak megnyílik vagy bezárul.

A kód pontos műveletei változhatnak. Ennek ellenére úgy tűnik, hogy az injekciók elsődleges célja a fertőzött webhelyek látogatóinak átirányítása nem biztonságos helyekre, például adathalász oldalakra és rosszindulatú programokat eldobó webhelyekre.

Konkrétan, egyes fertőzéseknél a kutatók megfigyelték, hogy a kód egy átirányítási URL-t – „http://ttincoming.traveltraffic.cc/?traffic” fecskendez be a „contact-form-7” felugró ablak „redirect-url” paramétereként. Az injekció ezután lekéri a hibás kódrészletet egy külső forrásból, és beinjektálja azt a böngésző weboldalának fejlécébe végrehajtás céljából.

Gyakorlatilag lehetséges, hogy a támadók számos káros célt érjenek el ezzel a módszerrel, amelyek közül sok súlyosabb lehet, mint az átirányítás.

Tegyen intézkedéseket a CVE-2023-6000 sebezhetőség elleni védelem érdekében

A támadások hatékony mérséklése érdekében tanácsos letiltani a hozzáférést abból a két tartományból, ahonnan a támadások származnak. Ezenkívül, ha a Popup Builder beépülő modult használja webhelyén, döntő fontosságú, hogy frissítsen a legújabb verzióra, amely jelenleg a 4.2.7. Ez a frissítés nem csak a CVE-2023-6000-et, hanem az esetlegesen előforduló egyéb biztonsági réseket is kiküszöböli.

A WordPress statisztikái szerint körülbelül 80 000 aktív webhely továbbra is használja a Popup Builder 4.1-es és régebbi verzióit. Ez jelentős támadási felületet jelez, amely továbbra is sebezhető. Fertőzés esetén az eltávolítási folyamat magában foglalja a Popup Builder egyéni szakaszaiban található nem biztonságos bejegyzések törlését. Ezenkívül alapos vizsgálatokat kell végezni az esetleges rejtett hátsó ajtók azonosítása és eltávolítása érdekében, amelyek újbóli fertőzéshez vezethetnek.