Chyba zabezpečenia CVE-2023-6000 XSS

Hackeri kompromitujú webové stránky WordPress tým, že využívajú zraniteľnosť nájdenú v zastaraných verziách doplnku Popup Builder. To viedlo k infekcii viac ako 3 300 webových stránok mizerným kódom. Zraniteľnosť, známa ako CVE-2023-6000, je chyba zabezpečenia skriptovania medzi lokalitami (XSS), ktorá ovplyvňuje Popup Builder verzie 4.2.3 a staršie. Prvýkrát bol zverejnený v novembri 2023.

Začiatkom roku 2024 bola objavená kampaň Balada Injector, ktorá využíva túto špecifickú zraniteľnosť na infikovanie viac ako 6 700 webových stránok. To zdôrazňuje skutočnosť, že mnohí správcovia stránok nepoužili okamžite záplaty na zmiernenie rizika. Nedávno výskumníci v oblasti informačnej bezpečnosti identifikovali novú kampaň vykazujúcu výrazný nárast aktivity zameranú na rovnakú zraniteľnosť prítomnú v doplnku WordPress.

Dôkazy naznačujú, že vloženie kódu spojené s touto najnovšou kampaňou bolo zistené na viac ako 3 000 stránkach WordPress.

Útočný reťazec využívajúci zraniteľnosť CVE-2023-6000 XSS

Útoky infikujú Custom JavaScript alebo Custom CSS sekcie administračného rozhrania WordPress, zatiaľ čo nesprávny kód je uložený v databázovej tabuľke „wp_postmeta“. Primárnou funkciou vloženého kódu je fungovať ako obsluha udalostí pre rôzne udalosti doplnkov Popup Builder, ako napríklad 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpb'WillClose' a sgpb-DidClose.' Ak to urobíte, nesprávny kód sa spustí konkrétnymi akciami doplnku, napríklad keď sa otvorí alebo zatvorí kontextové okno.

Presné akcie kódu sa môžu líšiť. Napriek tomu sa zdá, že primárnym účelom injekcií je presmerovanie návštevníkov infikovaných stránok na nebezpečné miesta, ako sú phishingové stránky a stránky s obsahom škodlivého softvéru.

Konkrétne pri niektorých infekciách výskumníci pozorovali, ako kód vkladá presmerovanú adresu URL – „http://ttincoming.traveltraffic.cc/?traffic“ ako parameter „redirect-url“ pre vyskakovacie okno „contact-form-7“. Injekcia potom získa útržok zlého kódu z externého zdroja a vloží ho do hlavy webovej stránky prehliadača na vykonanie.

Prakticky je možné, aby útočníci prostredníctvom tejto metódy dosiahli celý rad škodlivých cieľov, z ktorých mnohé sú potenciálne závažnejšie ako presmerovania.

Prijmite opatrenia na ochranu pred zraniteľnosťou CVE-2023-6000

Na účinné zmiernenie týchto útokov sa odporúča zablokovať prístup z dvoch špecifických domén, z ktorých útoky pochádzajú. Okrem toho, ak na svojom webe používate doplnok Popup Builder, je dôležité aktualizovať ho na najnovšiu verziu, ktorá je momentálne vo verzii 4.2.7. Táto aktualizácia rieši nielen CVE-2023-6000, ale aj ďalšie bezpečnostné chyby, ktoré môžu existovať.

Podľa štatistík WordPress existuje približne 80 000 aktívnych stránok, ktoré stále používajú Popup Builder verzie 4.1 a staršie. To naznačuje značnú útočnú plochu, ktorá zostáva zraniteľná. V prípade infekcie proces odstránenia zahŕňa odstránenie všetkých nebezpečných položiek prítomných vo vlastných sekciách Popup Builder. Okrem toho je nevyhnutné vykonať dôkladné skenovanie na identifikáciu a odstránenie akýchkoľvek skrytých zadných dvierok, ktoré by mohli viesť k reinfekcii.