CVE-2023-6000 XSS ievainojamība
Hakeri ir uzlauzuši WordPress vietnes, izmantojot ievainojamību, kas atrasta spraudņa Popup Builder novecojušajās versijās. Tā rezultātā vairāk nekā 3300 vietņu ir inficētas ar nederīgu kodu. Ievainojamība, kas pazīstama kā CVE-2023-6000, ir starpvietņu skriptēšanas (XSS) ievainojamība, kas ietekmē uznirstošo logu veidotāja 4.2.3 un vecākas versijas. Pirmo reizi tas tika atklāts 2023. gada novembrī.
2024. gada sākumā tika atklāta Balada Injector kampaņa, kas izmantoja šo īpašo ievainojamību, lai inficētu vairāk nekā 6700 vietņu. Tas uzsver faktu, ka daudzi vietņu administratori nebija nekavējoties ievietojuši ielāpus, lai mazinātu risku. Nesen informācijas drošības pētnieki ir atklājuši jaunu kampaņu, kas uzrāda ievērojamu aktivitātes pieaugumu, kas vērsta uz to pašu ievainojamību, kas atrodas WordPress spraudnī.
Pierādījumi liecina, ka ar šo jaunāko kampaņu saistītā koda ievadīšana ir konstatēta vairāk nekā 3000 WordPress vietņu.
Uzbrukuma ķēde, kas izmanto CVE-2023-6000 XSS ievainojamību
Uzbrukumi inficē WordPress administratora saskarnes Custom JavaScript vai Custom CSS sadaļas, savukārt datu bāzes tabulā “wp_postmeta” tiek saglabāts nepareizs kods. Ievadītā koda galvenā funkcija ir darboties kā notikumu apstrādātāji dažādiem uznirstošo logu veidotāja spraudņa notikumiem, piemēram, 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWill'Close'. sgpb-DidClose. To darot, nepareizs kods tiek aktivizēts, veicot noteiktas spraudņa darbības, piemēram, atverot vai aizverot uznirstošo logu.
Precīzas koda darbības var atšķirties. Tomēr šķiet, ka injekciju galvenais mērķis ir inficēto vietņu apmeklētāju novirzīšana uz nedrošiem galamērķiem, piemēram, pikšķerēšanas lapām un vietnēm, kurās tiek noņemta ļaunprātīga programmatūra.
Konkrēti, dažu infekciju gadījumā pētnieki novēroja, ka kods ievadīja novirzīšanas URL — http://ttincoming.traveltraffic.cc/?traffic — kā parametru “redirect-url” uznirstošajam logam “contact-form-7”. Pēc tam injekcija izgūst sliktā koda fragmentu no ārēja avota un ievada to pārlūkprogrammas tīmekļa lapas galviņā izpildei.
Praktiski, izmantojot šo metodi, uzbrucēji var sasniegt virkni kaitīgu mērķu, no kuriem daudzi var būt nopietnāki nekā novirzīšanas.
Veiciet pasākumus, lai aizsargātu pret CVE-2023-6000 ievainojamību
Lai efektīvi mazinātu šos uzbrukumus, ieteicams bloķēt piekļuvi no diviem konkrētiem domēniem, no kuriem uzbrukumi rodas. Turklāt, ja savā vietnē izmantojat uznirstošo logu veidotāja spraudni, ir ļoti svarīgi atjaunināt uz jaunāko versiju, kas pašlaik ir 4.2.7. Šis atjauninājums novērš ne tikai CVE-2023-6000, bet arī citas iespējamās drošības ievainojamības.
Saskaņā ar WordPress statistiku, ir aptuveni 80 000 aktīvu vietņu, kurās joprojām tiek izmantotas Popup Builder 4.1 un vecākas versijas. Tas norāda uz būtisku uzbrukuma virsmu, kas joprojām ir neaizsargāta. Infekcijas gadījumā noņemšanas process ietver visu nedrošo ierakstu dzēšanu, kas atrodas uznirstošo logu veidotāja pielāgotajās sadaļās. Turklāt ir svarīgi veikt rūpīgu skenēšanu, lai identificētu un noņemtu visas slēptās aizmugurējās durvis, kas varētu izraisīt atkārtotu inficēšanos.
