ភាពងាយរងគ្រោះ CVE-2023-6000 XSS

ពួក Hacker បាននឹងកំពុងសម្របសម្រួលគេហទំព័រ WordPress ដោយទាញយកភាពងាយរងគ្រោះដែលរកឃើញនៅក្នុងកំណែហួសសម័យនៃកម្មវិធីជំនួយ Popup Builder ។ នេះបានបណ្តាលឱ្យមានការឆ្លងនៃគេហទំព័រជាង 3,300 ដែលមានលេខកូដមិនល្អ។ ភាពងាយរងគ្រោះដែលត្រូវបានគេស្គាល់ថា CVE-2023-6000 គឺជាភាពងាយរងគ្រោះឆ្លងគេហទំព័រ (XSS) ដែលប៉ះពាល់ដល់ Popup Builder កំណែ 4.2.3 និងមុននេះ។ វាត្រូវបានបង្ហាញជាលើកដំបូងនៅក្នុងខែវិច្ឆិកា 2023 ។

នៅដើមឆ្នាំ 2024 យុទ្ធនាការ Balada Injector ត្រូវបានរកឃើញ ដោយប្រើប្រាស់ភាពងាយរងគ្រោះជាក់លាក់នេះ ដើម្បីឆ្លងទៅកាន់គេហទំព័រជាង 6,700។ នេះបង្ហាញពីការពិតដែលថាអ្នកគ្រប់គ្រងគេហទំព័រជាច្រើនមិនបានអនុវត្តបំណះភ្លាមៗដើម្បីកាត់បន្ថយហានិភ័យ។ ថ្មីៗនេះ អ្នកស្រាវជ្រាវសន្តិសុខព័ត៌មានបានរកឃើញយុទ្ធនាការថ្មីមួយដែលបង្ហាញពីការកើនឡើងយ៉ាងខ្លាំងនៃសកម្មភាព ដោយផ្តោតលើភាពងាយរងគ្រោះដូចគ្នាដែលមាននៅក្នុងកម្មវិធីជំនួយ WordPress ។

ភ័ស្តុតាងបង្ហាញថាការចាក់កូដដែលទាក់ទងនឹងយុទ្ធនាការចុងក្រោយនេះត្រូវបានរកឃើញនៅក្នុងគេហទំព័រ WordPress ជាង 3,000 ។

ខ្សែសង្វាក់វាយប្រហារទាញយកភាពងាយរងគ្រោះ CVE-2023-6000 XSS

ការវាយប្រហារបានប៉ះពាល់ដល់ផ្នែក Custom JavaScript ឬ CSS ផ្ទាល់ខ្លួនរបស់ចំណុចប្រទាក់គ្រប់គ្រង WordPress ខណៈពេលដែលលេខកូដខុសត្រូវបានរក្សាទុកក្នុងតារាងទិន្នន័យ 'wp_postmeta' ។ មុខងារចម្បងនៃកូដដែលបានបញ្ចូលគឺដើម្បីដើរតួជាអ្នកដោះស្រាយព្រឹត្តិការណ៍សម្រាប់ព្រឹត្តិការណ៍កម្មវិធីជំនួយ Popup Builder ផ្សេងៗដូចជា 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' និង ' sgpb-DidClose ។' តាមរយៈការធ្វើដូច្នេះ កូដខុសត្រូវបានបង្កឡើងដោយសកម្មភាពកម្មវិធីជំនួយជាក់លាក់ ដូចជាពេលដែលការលេចឡើងបើក ឬបិទជាដើម។

សកម្មភាពពិតប្រាកដនៃកូដអាចប្រែប្រួល។ ទោះយ៉ាងណាក៏ដោយ គោលបំណងចម្បងនៃការចាក់ថ្នាំហាក់ដូចជាកំពុងបញ្ជូនអ្នកទស្សនាគេហទំព័រដែលមានមេរោគទៅកាន់គោលដៅដែលមិនមានសុវត្ថិភាព ដូចជាទំព័របន្លំ និងគេហទំព័រទម្លាក់មេរោគ។

ជាពិសេស នៅក្នុងការឆ្លងមួយចំនួន អ្នកស្រាវជ្រាវបានសង្កេតឃើញកូដដែលបញ្ចូល URL ប្តូរទិស - 'http://ttincoming.traveltraffic.cc/?traffic' ជាប៉ារ៉ាម៉ែត្រ 'redirect-url' សម្រាប់ផ្ទាំងលេចឡើង 'contact-form-7' ។ បន្ទាប់មក ការចាក់បញ្ចូលកូដអាក្រក់ពីប្រភពខាងក្រៅ ហើយបញ្ចូលវាទៅក្នុងក្បាលគេហទំព័ររបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតសម្រាប់ដំណើរការ។

ជាក់ស្តែង វាអាចទៅរួចសម្រាប់អ្នកវាយប្រហារដើម្បីសម្រេចបាននូវគោលដៅគ្រោះថ្នាក់ជាច្រើនតាមរយៈវិធីសាស្ត្រនេះ ដែលភាគច្រើនមានសក្តានុពលខ្លាំងជាងការបញ្ជូនបន្ត។

ចាត់វិធានការដើម្បីការពារប្រឆាំងនឹងភាពងាយរងគ្រោះ CVE-2023-6000

ដើម្បីកាត់បន្ថយការវាយប្រហារទាំងនេះប្រកបដោយប្រសិទ្ធភាព វាត្រូវបានណែនាំឱ្យបិទការចូលប្រើពីដែនជាក់លាក់ពីរដែលការវាយប្រហារកើតឡើង។ លើសពីនេះទៀត ប្រសិនបើអ្នកកំពុងប្រើប្រាស់កម្មវិធីជំនួយ Popup Builder នៅលើគេហទំព័ររបស់អ្នក វាជារឿងសំខាន់ក្នុងការធ្វើបច្ចុប្បន្នភាពទៅកំណែចុងក្រោយបំផុត ដែលបច្ចុប្បន្នជាកំណែ 4.2.7។ អាប់ដេតនេះមិនត្រឹមតែមានអាសយដ្ឋាន CVE-2023-6000 ប៉ុណ្ណោះទេ ប៉ុន្តែវាក៏មានភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពផ្សេងទៀតដែលអាចមានផងដែរ។

យោងតាមស្ថិតិ WordPress មានគេហទំព័រសកម្មប្រហែល 80,000 នៅតែប្រើ Popup Builder កំណែ 4.1 និងចាស់ជាងនេះ។ នេះបង្ហាញពីផ្ទៃវាយប្រហារដ៏ច្រើនដែលនៅតែងាយរងគ្រោះ។ នៅក្នុងព្រឹត្តិការណ៍នៃការឆ្លង ដំណើរការដកយកចេញពាក់ព័ន្ធនឹងការលុបធាតុដែលមិនមានសុវត្ថិភាពដែលមានវត្តមាននៅក្នុងផ្នែកផ្ទាល់ខ្លួនរបស់ Popup Builder។ ជាងនេះទៅទៀត វាចាំបាច់ក្នុងការធ្វើការស្កែនឱ្យបានហ្មត់ចត់ដើម្បីកំណត់អត្តសញ្ញាណ និងលុបកន្លែងលាក់បាំងណាមួយដែលអាចនាំឱ្យមានការឆ្លងឡើងវិញ។