CVE-2023-6000 XSS pažeidžiamumas

Įsilaužėliai įsilaužė į „WordPress“ svetaines, pasinaudodami pažeidžiamumu, randamu pasenusiose „Popup Builder“ papildinio versijose. Dėl to daugiau nei 3 300 svetainių buvo užkrėstos nešvankiu kodu. Pažeidžiamumas, žinomas kaip CVE-2023-6000, yra kelių svetainių scenarijų (XSS) pažeidžiamumas, turintis įtakos 4.2.3 ir senesnėms Popup Builder versijoms. Pirmą kartą jis buvo atskleistas 2023 m. lapkritį.

2024 m. pradžioje buvo aptikta Balada Injector kampanija, naudojanti šį specifinį pažeidžiamumą ir užkrėsti daugiau nei 6 700 svetainių. Tai pabrėžia faktą, kad daugelis svetainių administratorių nedelsdami pritaikė pataisų, kad sumažintų riziką. Neseniai informacijos saugos tyrėjai nustatė naują kampaniją, kurios aktyvumas gerokai išaugo ir nukreiptas į tą patį pažeidžiamumą, esantį „WordPress“ papildinyje.

Įrodymai rodo, kad kodo injekcijos, susijusios su šia naujausia kampanija, buvo aptiktos daugiau nei 3000 „WordPress“ svetainių.

Atakos grandinė, išnaudojanti CVE-2023-6000 XSS pažeidžiamumą

Atakos užkrečia „WordPress“ administratoriaus sąsajos „Custom JavaScript“ arba „Custom CSS“ skyrius, o „wp_postmeta“ duomenų bazės lentelėje saugomas neteisingas kodas. Pagrindinė įvesto kodo funkcija yra veikti kaip įvairių iškylančiųjų langų kūrimo priemonės įskiepių įvykių tvarkyklės, pvz., „sgpb-ShouldOpen“, „sgpb-ShouldClose“, „sgpb-WillOpen“, „sgpbDidOpen“, „sgpbWillClose“ sgpb-DidClose. Taip elgiantis netinkamas kodas suaktyvinamas atliekant tam tikrus papildinio veiksmus, pvz., kai atidaromas arba uždaromas iššokantis langas.

Tikslūs kodo veiksmai gali skirtis. Vis dėlto, atrodo, kad pagrindinis injekcijų tikslas yra nukreipti užkrėstų svetainių lankytojus į nesaugias vietas, tokias kaip sukčiavimo puslapiai ir kenkėjiškų programų šalinimo svetainės.

Tiksliau, kai kurių infekcijų atveju mokslininkai pastebėjo, kad kodas įvedė peradresavimo URL – „http://ttincoming.traveltraffic.cc/?traffic“ kaip „peradresavimo URL“ parametrą „contact-form-7“ iššokančiam langui. Tada įpurškus nuskaitomas netinkamas kodo fragmentas iš išorinio šaltinio ir įterpiamas į naršyklės tinklalapio antraštę vykdyti.

Praktiškai šiuo metodu užpuolikai gali pasiekti daugybę žalingų tikslų, kurių daugelis gali būti sunkesni nei peradresavimai.

Imkitės priemonių, kad apsaugotumėte nuo CVE-2023-6000 pažeidžiamumo

Norint veiksmingai sušvelninti šias atakas, patartina užblokuoti prieigą iš dviejų konkrečių domenų, iš kurių kilo atakos. Be to, jei savo svetainėje naudojate Popup Builder papildinį, labai svarbu atnaujinti į naujausią versiją, kuri šiuo metu yra 4.2.7. Šis naujinimas pašalina ne tik CVE-2023-6000, bet ir kitus galimus saugos spragas.

Remiantis „WordPress“ statistika, yra maždaug 80 000 aktyvių svetainių, kuriose vis dar naudojamos 4.1 ir senesnės „Popup Builder“ versijos. Tai rodo didelį atakos paviršių, kuris išlieka pažeidžiamas. Užkrėtimo atveju pašalinimo procesas apima visų nesaugių įrašų, esančių iššokančiųjų langų kūrimo priemonės tinkintose skiltyse, ištrynimą. Be to, labai svarbu atlikti kruopščius nuskaitymus, siekiant nustatyti ir pašalinti visas paslėptas užpakalines duris, kurios gali sukelti pakartotinį užsikrėtimą.