Luka w zabezpieczeniach XSS CVE-2023-6000

Hakerzy włamywali się do witryn WordPress, wykorzystując lukę znalezioną w nieaktualnych wersjach wtyczki Popup Builder. Doprowadziło to do zainfekowania ponad 3300 witryn internetowych kiepskim kodem. Luka, znana jako CVE-2023-6000, to luka w zabezpieczeniach typu cross-site scripting (XSS), występująca w programie Popup Builder w wersji 4.2.3 i wcześniejszych. Po raz pierwszy ujawniono to w listopadzie 2023 r.

Na początku 2024 r. wykryto kampanię Balada Injector wykorzystującą tę konkretną lukę do zainfekowania ponad 6700 stron internetowych. Podkreśla to fakt, że wielu administratorów witryn nie zastosowało od razu poprawek w celu ograniczenia ryzyka. Niedawno badacze bezpieczeństwa informacji zidentyfikowali nową kampanię charakteryzującą się znacznym wzrostem aktywności, której celem jest ta sama luka występująca we wtyczce WordPress.

Dowody sugerują, że w ponad 3000 witryn WordPress wykryto zastrzyki kodu związane z najnowszą kampanią.

Łańcuch ataków wykorzystujący lukę XSS CVE-2023-6000

Ataki infekują sekcje Custom JavaScript lub Custom CSS interfejsu administracyjnego WordPressa, podczas gdy w tabeli bazy danych „wp_postmeta” przechowywany jest nieprawidłowy kod. Podstawową funkcją wstrzykniętego kodu jest działanie jako obsługa zdarzeń dla różnych zdarzeń wtyczki Popup Builder, takich jak „sgpb-ShouldOpen”, „sgpb-ShouldClose”, „sgpb-WillOpen”, „sgpbDidOpen”, „sgpbWillClose” i „ sgpb-DidClose.' W ten sposób nieprawidłowy kod zostanie wywołany przez określone działania wtyczki, na przykład otwarcie lub zamknięcie wyskakującego okienka.

Dokładne działania kodu mogą się różnić. Mimo to wydaje się, że głównym celem zastrzyków jest przekierowywanie osób odwiedzających zainfekowane witryny do niebezpiecznych miejsc docelowych, takich jak strony phishingowe i witryny zawierające złośliwe oprogramowanie.

W szczególności w przypadku niektórych infekcji badacze zaobserwowali, że kod wstrzykiwał adres URL przekierowania – „http://ttincoming.traveltraffic.cc/?traffic” jako parametr „redirect-url” dla wyskakującego okienka „contact-form-7”. Następnie wstrzyknięcie pobiera fragment błędnego kodu z zewnętrznego źródła i wstrzykuje go do nagłówka strony przeglądarki w celu wykonania.

W praktyce za pomocą tej metody osoby atakujące mogą osiągnąć szereg szkodliwych celów, z których wiele może być poważniejszych niż przekierowania.

Podejmij kroki w celu ochrony przed luką CVE-2023-6000

Aby skutecznie złagodzić te ataki, zaleca się zablokowanie dostępu z dwóch konkretnych domen, z których pochodzą ataki. Dodatkowo, jeśli korzystasz z wtyczki Popup Builder na swojej stronie internetowej, niezwykle istotna jest aktualizacja do najnowszej wersji, czyli obecnie wersji 4.2.7. Ta aktualizacja usuwa nie tylko lukę CVE-2023-6000, ale także inne luki w zabezpieczeniach, które mogą występować.

Według statystyk WordPressa około 80 000 aktywnych witryn nadal korzysta z narzędzia Popup Builder w wersji 4.1 i starszych. Wskazuje to na znaczną powierzchnię ataku, która pozostaje podatna na ataki. W przypadku infekcji proces usuwania obejmuje usunięcie wszelkich niebezpiecznych wpisów znajdujących się w niestandardowych sekcjach Kreatora wyskakujących okienek. Co więcej, konieczne jest przeprowadzenie dokładnych skanów w celu zidentyfikowania i usunięcia wszelkich ukrytych backdoorów, które mogą prowadzić do ponownej infekcji.