CVE-2023-6000 XSS-уязвимость

Хакеры взломали веб-сайты WordPress, используя уязвимость, обнаруженную в устаревших версиях плагина Popup Builder. В результате более 3300 веб-сайтов были заражены паршивым кодом. Уязвимость, известная как CVE-2023-6000, представляет собой уязвимость межсайтового скриптинга (XSS), затрагивающую Popup Builder версий 4.2.3 и более ранних версий. Впервые об этом стало известно в ноябре 2023 года.

В начале 2024 года была обнаружена кампания Balada Injector, использовавшая эту конкретную уязвимость для заражения более 6700 веб-сайтов. Это подчеркивает тот факт, что многие администраторы сайтов не применили своевременно исправления для снижения риска. Недавно исследователи информационной безопасности выявили новую кампанию, демонстрирующую значительный рост активности и нацеленную на ту же уязвимость, что и в плагине WordPress.

Имеющиеся данные свидетельствуют о том, что инъекции кода, связанные с этой последней кампанией, были обнаружены на более чем 3000 сайтах WordPress.

Цепочка атак с использованием XSS-уязвимости CVE-2023-6000

Атаки заражают разделы Custom JavaScript или Custom CSS интерфейса администратора WordPress, а неверный код хранится в таблице базы данных wp_postmeta. Основная функция внедренного кода — выступать в качестве обработчиков событий для различных событий плагина Popup Builder, таких как «sgpb-ShouldOpen», «sgpb-ShouldClose», «sgpb-WillOpen», «sgpbDidOpen», «sgpbWillClose» и «sgpbWillClose». sgpb-DidClose.' При этом неправильный код запускается при определенных действиях плагина, например при открытии или закрытии всплывающего окна.

Точные действия кода могут различаться. Тем не менее, основной целью инъекций, судя по всему, является перенаправление посетителей зараженных сайтов на небезопасные места, такие как фишинговые страницы и сайты, на которых размещается вредоносное ПО.

В частности, при некоторых заражениях исследователи наблюдали, как код внедряет URL-адрес перенаправления — «http://ttincoming.traveltraffic.cc/?traffic» в качестве параметра «redirect-url» для всплывающего окна «contact-form-7». Затем внедрение извлекает плохой фрагмент кода из внешнего источника и вставляет его в заголовок веб-страницы браузера для выполнения.

На практике с помощью этого метода злоумышленники могут достичь целого ряда вредоносных целей, многие из которых потенциально более серьезны, чем перенаправление.

Примите меры для защиты от уязвимости CVE-2023-6000

Чтобы эффективно смягчить эти атаки, рекомендуется заблокировать доступ из двух конкретных доменов, из которых исходят атаки. Кроме того, если вы используете плагин Popup Builder на своем веб-сайте, крайне важно обновить его до последней версии, которая на данный момент является версией 4.2.7. Это обновление устраняет не только CVE-2023-6000, но и другие уязвимости безопасности, которые могут существовать.

Согласно статистике WordPress, около 80 000 активных сайтов все еще используют Popup Builder версии 4.1 и старше. Это указывает на значительную поверхность атаки, которая остается уязвимой. В случае заражения процесс удаления включает в себя удаление всех небезопасных записей, присутствующих в настраиваемых разделах Popup Builder. Более того, важно провести тщательное сканирование, чтобы выявить и удалить любые скрытые бэкдоры, которые могут привести к повторному заражению.