CVE-2023-6000 Vulnerabilità XSS

Gli hacker hanno compromesso i siti Web WordPress sfruttando una vulnerabilità trovata nelle versioni obsolete del plug-in Popup Builder. Ciò ha provocato l'infezione di oltre 3.300 siti web con codice scadente. La vulnerabilità, nota come CVE-2023-6000, è una vulnerabilità di cross-site scripting (XSS) che interessa le versioni Popup Builder 4.2.3 e precedenti. È stato rivelato per la prima volta nel novembre 2023.

All’inizio del 2024 è stata scoperta una campagna Balada Injector che sfruttava questa specifica vulnerabilità per infettare più di 6.700 siti web. Ciò evidenzia il fatto che molti amministratori dei siti non avevano applicato tempestivamente le patch per mitigare il rischio. Recentemente, i ricercatori sulla sicurezza informatica hanno identificato una nuova campagna che mostra un significativo aumento di attività, prendendo di mira la stessa vulnerabilità presente nel plugin WordPress.

Le prove suggeriscono che le iniezioni di codice associate a quest’ultima campagna sono state rilevate in oltre 3.000 siti WordPress.

La catena di attacco che sfrutta la vulnerabilità XSS CVE-2023-6000

Gli attacchi infettano le sezioni JavaScript personalizzato o CSS personalizzato dell'interfaccia di amministrazione di WordPress, mentre il codice sbagliato viene archiviato nella tabella del database "wp_postmeta". La funzione principale del codice inserito è quella di agire come gestori di eventi per vari eventi del plugin Popup Builder, come 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' e ' sgpb-DidClose.' In questo modo, il codice sbagliato viene attivato da azioni specifiche del plugin, come quando si apre o si chiude un popup.

Le azioni esatte del codice possono variare. Tuttavia, lo scopo principale delle iniezioni sembra essere quello di reindirizzare i visitatori di siti infetti verso destinazioni non sicure come pagine di phishing e siti che rilasciano malware.

Nello specifico, in alcune infezioni, i ricercatori hanno osservato il codice che iniettava un URL di reindirizzamento: "http://ttincoming.traveltraffic.cc/?traffic", come parametro "redirect-url" per un popup "contact-form-7". L'iniezione recupera quindi lo snippet di codice errato da una fonte esterna e lo inserisce nell'intestazione della pagina Web del browser per l'esecuzione.

In pratica, attraverso questo metodo gli aggressori possono raggiungere una serie di obiettivi dannosi, molti dei quali potenzialmente più gravi dei reindirizzamenti.

Adottare misure per proteggersi dalla vulnerabilità CVE-2023-6000

Per mitigare efficacemente questi attacchi, è consigliabile bloccare l'accesso dai due domini specifici da cui provengono gli attacchi. Inoltre, se utilizzi il plug-in Popup Builder sul tuo sito web, è fondamentale eseguire l'aggiornamento alla versione più recente, che attualmente è la versione 4.2.7. Questo aggiornamento risolve non solo CVE-2023-6000 ma anche altre vulnerabilità di sicurezza che potrebbero esistere.

Secondo le statistiche di WordPress, ci sono circa 80.000 siti attivi che utilizzano ancora le versioni Popup Builder 4.1 e precedenti. Ciò indica una superficie di attacco sostanziale che rimane vulnerabile. In caso di infezione, il processo di rimozione prevede l'eliminazione di tutte le voci non sicure presenti nelle sezioni personalizzate del Popup Builder. Inoltre, è essenziale condurre scansioni approfondite per identificare e rimuovere eventuali backdoor nascoste che potrebbero portare a una reinfezione.