Vulnerabilitatea XSS CVE-2023-6000

Hackerii au compromis site-urile WordPress prin exploatarea unei vulnerabilități găsite în versiunile învechite ale pluginului Popup Builder. Acest lucru a dus la infectarea a peste 3.300 de site-uri web cu cod prost. Vulnerabilitatea, cunoscută sub numele de CVE-2023-6000, este o vulnerabilitate de tip cross-site scripting (XSS) care afectează versiunile Popup Builder 4.2.3 și anterioare. A fost dezvăluit pentru prima dată în noiembrie 2023.

La începutul anului 2024, a fost descoperită o campanie Balada Injector, utilizând această vulnerabilitate specifică pentru a infecta peste 6.700 de site-uri web. Acest lucru evidențiază faptul că mulți administratori de site nu aplicaseră prompt patch-uri pentru a reduce riscul. Recent, cercetătorii în securitatea informațiilor au identificat o nouă campanie care prezintă o creștere semnificativă a activității, vizând aceeași vulnerabilitate prezentă în pluginul WordPress.

Dovezile sugerează că injecțiile de cod asociate cu această ultimă campanie au fost detectate în peste 3.000 de site-uri WordPress.

Lanțul de atac care exploatează vulnerabilitatea CVE-2023-6000 XSS

Atacurile infectează secțiunile JavaScript personalizate sau CSS personalizate ale interfeței de administrare WordPress, în timp ce codul greșit este stocat în tabelul bazei de date „wp_postmeta”. Funcția principală a codului injectat este de a acționa ca handler de evenimente pentru diverse evenimente de plugin Popup Builder, cum ar fi „sgpb-ShouldOpen”, „sgpb-ShouldClose”, „sgpb-WillOpen”, „sgpbDidOpen”, „sgpbWillClose” și „ sgpb-DidClose.' Procedând astfel, codul greșit este declanșat de anumite acțiuni ale pluginului, cum ar fi atunci când se deschide sau se închide o fereastră pop-up.

Acțiunile exacte ale codului pot varia. Totuși, scopul principal al injecțiilor pare să fie redirecționarea vizitatorilor site-urilor infectate către destinații nesigure, cum ar fi paginile de phishing și site-urile de eliminare a programelor malware.

Mai exact, în unele infecții, cercetătorii au observat că codul injectează o adresă URL de redirecționare - „http://ttincoming.traveltraffic.cc/?traffic”, ca parametru „redirect-url” pentru o fereastră pop-up „contact-form-7”. Injectarea preia apoi fragmentul de cod prost dintr-o sursă externă și îl injectează în capul paginii web a browserului pentru execuție.

Practic, este posibil ca atacatorii să atingă o serie de obiective dăunătoare prin această metodă, multe fiind potențial mai severe decât redirecționările.

Luați măsuri de protecție împotriva vulnerabilității CVE-2023-6000

Pentru a atenua eficient aceste atacuri, este recomandabil să blocați accesul din cele două domenii specifice din care provin atacurile. În plus, dacă utilizați pluginul Popup Builder pe site-ul dvs. web, este esențial să actualizați la cea mai recentă versiune, care este în prezent versiunea 4.2.7. Această actualizare abordează nu numai CVE-2023-6000, ci și alte vulnerabilități de securitate care pot exista.

Conform statisticilor WordPress, există aproximativ 80.000 de site-uri active care încă folosesc Popup Builder versiunile 4.1 și mai vechi. Aceasta indică o suprafață de atac substanțială care rămâne vulnerabilă. În cazul unei infecții, procesul de eliminare implică ștergerea oricăror intrări nesigure prezente în secțiunile personalizate ale Popup Builder. În plus, este esențial să se efectueze scanări amănunțite pentru a identifica și elimina orice uși din spate ascunse care ar putea duce la reinfecție.