Kerentanan CVE-2023-6000 XSS

Penggodam telah menjejaskan tapak web WordPress dengan mengeksploitasi kelemahan yang terdapat dalam versi lapuk pemalam Popup Builder. Ini telah mengakibatkan jangkitan lebih 3,300 laman web dengan kod buruk. Kerentanan, yang dikenali sebagai CVE-2023-6000, ialah kelemahan penskripan tapak (XSS) yang mempengaruhi Popup Builder versi 4.2.3 dan lebih awal. Ia pertama kali didedahkan pada November 2023.

Pada awal tahun 2024, kempen Balada Injector telah ditemui, menggunakan kelemahan khusus ini untuk menjangkiti lebih daripada 6,700 tapak web. Ini menyerlahkan fakta bahawa ramai pentadbir tapak tidak segera menggunakan patch untuk mengurangkan risiko. Baru-baru ini, penyelidik keselamatan maklumat telah mengenal pasti kempen baharu yang mempamerkan peningkatan ketara dalam aktiviti, menyasarkan kelemahan yang sama yang terdapat dalam pemalam WordPress.

Bukti menunjukkan bahawa suntikan kod yang dikaitkan dengan kempen terbaharu ini telah dikesan di lebih 3,000 tapak WordPress.

Rantaian Serangan Memanfaatkan Kerentanan CVE-2023-6000 XSS

Serangan menjangkiti bahagian Custom JavaScript atau Custom CSS antara muka admin WordPress, manakala kod yang salah disimpan dalam jadual pangkalan data 'wp_postmeta'. Fungsi utama kod yang disuntik adalah untuk bertindak sebagai pengendali acara untuk pelbagai acara pemalam Popup Builder, seperti 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' dan ' sgpb-DidClose.' Dengan berbuat demikian, kod yang salah dicetuskan oleh tindakan pemalam tertentu, seperti apabila pop timbul dibuka atau ditutup.

Tindakan tepat kod mungkin berbeza-beza. Namun, tujuan utama suntikan nampaknya mengalihkan pelawat tapak yang dijangkiti ke destinasi yang tidak selamat seperti halaman pancingan data dan tapak pengguguran perisian hasad.

Khususnya, dalam beberapa jangkitan, para penyelidik memerhatikan kod yang menyuntik URL ubah hala - 'http://ttincoming.traveltraffic.cc/?traffic,' sebagai parameter 'redirect-url' untuk pop timbul 'contact-form-7'. Suntikan kemudian mendapatkan semula coretan kod buruk daripada sumber luaran dan menyuntiknya ke dalam kepala halaman web penyemak imbas untuk dilaksanakan.

Secara praktikal, penyerang boleh mencapai pelbagai matlamat berbahaya melalui kaedah ini, kebanyakannya mungkin lebih teruk daripada pengalihan.

Ambil Langkah-Langkah untuk Melindungi daripada Kerentanan CVE-2023-6000

Untuk mengurangkan serangan ini dengan berkesan, anda dinasihatkan untuk menyekat akses daripada dua domain khusus yang mana serangan itu berasal. Selain itu, jika anda menggunakan pemalam Popup Builder di tapak web anda, adalah penting untuk mengemas kini kepada versi terkini, yang kini merupakan versi 4.2.7. Kemas kini ini menangani bukan sahaja CVE-2023-6000 tetapi juga kelemahan keselamatan lain yang mungkin wujud.

Menurut statistik WordPress, terdapat kira-kira 80,000 tapak aktif yang masih menggunakan Popup Builder versi 4.1 dan lebih lama. Ini menunjukkan permukaan serangan yang besar yang masih terdedah. Sekiranya berlaku jangkitan, proses penyingkiran melibatkan pemadaman sebarang entri tidak selamat yang terdapat dalam bahagian tersuai Pembina Popup. Selain itu, adalah penting untuk menjalankan imbasan menyeluruh untuk mengenal pasti dan mengalih keluar sebarang pintu belakang tersembunyi yang boleh membawa kepada jangkitan semula.