CVE-2023-6000 XSS-kwetsbaarheid

Hackers hebben WordPress-websites gecompromitteerd door misbruik te maken van een kwetsbaarheid in verouderde versies van de Popup Builder-plug-in. Dit heeft geresulteerd in de infectie van meer dan 3.300 websites met slechte code. De kwetsbaarheid, bekend als CVE-2023-6000, is een cross-site scripting (XSS) kwetsbaarheid die invloed heeft op Popup Builder versies 4.2.3 en eerder. Het werd voor het eerst onthuld in november 2023.

Begin 2024 werd een Balada Injector-campagne ontdekt, waarbij gebruik werd gemaakt van deze specifieke kwetsbaarheid om meer dan 6.700 websites te infecteren. Dit benadrukt het feit dat veel sitebeheerders niet onmiddellijk patches hadden toegepast om het risico te beperken. Onlangs hebben onderzoekers op het gebied van informatiebeveiliging een nieuwe campagne geïdentificeerd die een aanzienlijke toename van de activiteit vertoont en zich richt op dezelfde kwetsbaarheid die aanwezig is in de WordPress-plug-in.

Er zijn aanwijzingen dat code-injecties die verband houden met deze nieuwste campagne zijn gedetecteerd op meer dan 3.000 WordPress-sites.

De aanvalsketen die misbruik maakt van de CVE-2023-6000 XSS-kwetsbaarheid

De aanvallen infecteren de Custom JavaScript- of Custom CSS-secties van de WordPress-beheerdersinterface, terwijl de verkeerde code wordt opgeslagen in de 'wp_postmeta'-databasetabel. De primaire functie van de geïnjecteerde code is om te fungeren als gebeurtenishandlers voor verschillende Popup Builder-plug-ingebeurtenissen, zoals 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' en ' sgpb-DidClose.' Door dat te doen, wordt de verkeerde code geactiveerd door specifieke plug-inacties, zoals wanneer een pop-up wordt geopend of gesloten.

De exacte acties van de code kunnen variëren. Toch lijkt het primaire doel van de injecties het omleiden van bezoekers van geïnfecteerde sites naar onveilige bestemmingen zoals phishing-pagina's en sites met malware-droppings.

Concreet zagen de onderzoekers bij sommige infecties dat de code een omleidings-URL injecteerde - 'http://ttincoming.traveltraffic.cc/?traffic', als de 'redirect-url'-parameter voor een 'contact-form-7'-pop-up. De injectie haalt vervolgens het slechte codefragment op van een externe bron en injecteert het in de webpaginakop van de browser voor uitvoering.

In de praktijk is het voor de aanvallers mogelijk om via deze methode een reeks schadelijke doelen te bereiken, waarvan er vele mogelijk ernstiger zijn dan omleidingen.

Neem maatregelen om u te beschermen tegen het beveiligingslek CVE-2023-6000

Om deze aanvallen effectief te beperken, is het raadzaam om de toegang te blokkeren vanaf de twee specifieke domeinen waar de aanvallen vandaan komen. Als u bovendien de Popup Builder-plug-in op uw website gebruikt, is het van cruciaal belang om bij te werken naar de nieuwste versie, momenteel versie 4.2.7. Deze update verhelpt niet alleen CVE-2023-6000, maar ook andere mogelijke beveiligingsproblemen.

Volgens WordPress-statistieken zijn er ongeveer 80.000 actieve sites die nog steeds Popup Builder versie 4.1 en ouder gebruiken. Dit duidt op een substantieel aanvalsoppervlak dat kwetsbaar blijft. In het geval van een infectie omvat het verwijderingsproces het verwijderen van alle onveilige vermeldingen in de aangepaste secties van de Popup Builder. Bovendien is het essentieel om grondige scans uit te voeren om eventuele verborgen achterdeurtjes die tot herinfectie kunnen leiden, te identificeren en te verwijderen.