CVE-2023-6000 XSS-sårbarhet

Hackere har kompromittert WordPress-nettsteder ved å utnytte en sårbarhet som finnes i utdaterte versjoner av Popup Builder-plugin. Dette har resultert i infeksjon av over 3300 nettsteder med elendig kode. Sårbarheten, kjent som CVE-2023-6000, er et sikkerhetsproblem for skripting på tvers av nettsteder (XSS) som påvirker Popup Builder versjon 4.2.3 og tidligere. Det ble først avslørt i november 2023.

I begynnelsen av 2024 ble en Balada Injector-kampanje oppdaget, som utnyttet denne spesifikke sårbarheten til å infisere mer enn 6700 nettsteder. Dette fremhever det faktum at mange nettstedsadministratorer ikke umiddelbart hadde tatt i bruk oppdateringer for å redusere risikoen. Nylig har informasjonssikkerhetsforskere identifisert en ny kampanje som viser en betydelig økning i aktivitet, rettet mot den samme sårbarheten som finnes i WordPress-pluginen.

Bevis tyder på at kodeinjeksjoner knyttet til denne siste kampanjen har blitt oppdaget på over 3000 WordPress-nettsteder.

Angrepskjeden utnytter CVE-2023-6000 XSS-sårbarheten

Angrepene infiserer WordPress-administrasjonsgrensesnittets Custom JavaScript eller Custom CSS-seksjoner, mens feil kode er lagret i 'wp_postmeta'-databasetabellen. Den primære funksjonen til den injiserte koden er å fungere som hendelsesbehandlere for ulike Popup Builder-plugin-hendelser, for eksempel 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' og ' sgpb-DidClose.' Ved å gjøre det utløses feil kode av spesifikke plugin-handlinger, som når en popup åpnes eller lukkes.

De nøyaktige handlingene til koden kan variere. Likevel ser det ut til at hovedformålet med injeksjonene er å omdirigere besøkende på infiserte nettsteder til utrygge destinasjoner som phishing-sider og nettsteder som sletter skadelig programvare.

Spesifikt, i noen infeksjoner, observerte forskerne koden som injiserte en omdirigerings-URL - 'http://ttincoming.traveltraffic.cc/?traffic' som 'redirect-url'-parameteren for en 'contact-form-7' popup. Injeksjonen henter deretter den dårlige kodebiten fra en ekstern kilde og injiserer den i nettleserens nettsidehode for kjøring.

Praktisk talt er det mulig for angriperne å oppnå en rekke skadelige mål gjennom denne metoden, mange potensielt mer alvorlige enn omdirigeringer.

Ta tiltak for å beskytte mot CVE-2023-6000-sårbarheten

For å effektivt redusere disse angrepene, er det tilrådelig å blokkere tilgang fra de to spesifikke domenene som angrepene kommer fra. I tillegg, hvis du bruker Popup Builder-pluginen på nettstedet ditt, er det avgjørende å oppdatere til den nyeste versjonen, som for øyeblikket er versjon 4.2.7. Denne oppdateringen adresserer ikke bare CVE-2023-6000, men også andre sikkerhetssårbarheter som kan eksistere.

I følge WordPress-statistikk er det omtrent 80 000 aktive nettsteder som fortsatt bruker Popup Builder versjon 4.1 og eldre. Dette indikerer en betydelig angrepsoverflate som fortsatt er sårbar. I tilfelle en infeksjon involverer fjerningsprosessen sletting av eventuelle usikre oppføringer i Popup Builders egendefinerte seksjoner. Dessuten er det viktig å utføre grundige skanninger for å identifisere og fjerne eventuelle skjulte bakdører som kan føre til reinfeksjon.