CVE-2023-6000 XSS 취약점

해커들은 Popup Builder 플러그인의 오래된 버전에서 발견된 취약점을 악용하여 WordPress 웹사이트를 손상시켰습니다. 이로 인해 3,300개 이상의 웹사이트가 형편없는 코드로 감염되었습니다. CVE-2023-6000으로 알려진 이 취약점은 Popup Builder 버전 4.2.3 및 이전 버전에 영향을 미치는 XSS(교차 사이트 스크립팅) 취약점입니다. 2023년 11월에 처음 공개됐다.

2024년 초, 이 특정 취약점을 활용하여 6,700개 이상의 웹사이트를 감염시키는 Balada Injector 캠페인이 발견되었습니다. 이는 많은 사이트 관리자가 위험을 완화하기 위해 패치를 즉시 적용하지 않았다는 사실을 강조합니다. 최근 정보 보안 연구원들은 WordPress 플러그인에 존재하는 동일한 취약점을 표적으로 삼아 활동이 크게 증가한 새로운 캠페인을 확인했습니다.

증거에 따르면 이 최신 캠페인과 관련된 코드 삽입이 3,000개 이상의 WordPress 사이트에서 감지되었습니다.

CVE-2023-6000 XSS 취약점을 악용하는 공격 체인

공격은 WordPress 관리 인터페이스의 사용자 정의 JavaScript 또는 사용자 정의 CSS 섹션을 감염시키는 반면, 잘못된 코드는 'wp_postmeta' 데이터베이스 테이블에 저장됩니다. 삽입된 코드의 주요 기능은 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' 및 '와 같은 다양한 Popup Builder 플러그인 이벤트에 대한 이벤트 핸들러 역할을 하는 것입니다. sgpb-DidClose.' 그렇게 하면 팝업이 열리거나 닫힐 때와 같은 특정 플러그인 작업에 의해 잘못된 코드가 트리거됩니다.

코드의 정확한 동작은 다를 수 있습니다. 그럼에도 불구하고 주입의 주요 목적은 감염된 사이트의 방문자를 피싱 페이지 및 악성코드 드롭 사이트와 같은 안전하지 않은 목적지로 리디렉션하는 것으로 보입니다.

특히 일부 감염에서 연구원들은 'contact-form-7' 팝업에 대한 'redirect-url' 매개변수로 리디렉션 URL('http://ttincoming.traveltraffic.cc/?traffic')을 삽입하는 코드를 관찰했습니다. 그런 다음 주입은 외부 소스에서 잘못된 코드 조각을 검색하고 실행을 위해 브라우저의 웹페이지 헤드에 주입합니다.

실제로 공격자는 이 방법을 통해 다양한 유해한 목표를 달성할 수 있으며, 그 중 상당수는 잠재적으로 리디렉션보다 더 심각합니다.

CVE-2023-6000 취약점으로부터 보호하기 위한 조치를 취하세요.

이러한 공격을 효과적으로 완화하려면 공격이 발생한 두 특정 도메인의 액세스를 차단하는 것이 좋습니다. 또한 웹 사이트에서 Popup Builder 플러그인을 활용하는 경우 최신 버전(현재 버전 4.2.7)으로 업데이트하는 것이 중요합니다. 이 업데이트는 CVE-2023-6000뿐만 아니라 존재할 수 있는 기타 보안 취약점도 해결합니다.

WordPress 통계에 따르면 여전히 Popup Builder 버전 4.1 이하를 사용하는 활성 사이트가 약 80,000개 있습니다. 이는 여전히 취약한 상당한 공격 표면이 있음을 나타냅니다. 감염이 발생한 경우 제거 프로세스에는 Popup Builder의 사용자 정의 섹션에 있는 안전하지 않은 항목을 삭제하는 작업이 포함됩니다. 또한 재감염으로 이어질 수 있는 숨겨진 백도어를 식별하고 제거하려면 철저한 검사를 수행하는 것이 중요합니다.