Ranljivost CVE-2023-6000 XSS

Hekerji so ogrožali spletna mesta WordPress z izkoriščanjem ranljivosti v zastarelih različicah vtičnika Popup Builder. To je povzročilo okužbo več kot 3.300 spletnih mest z zanič kodo. Ranljivost, znana kot CVE-2023-6000, je skriptna ranljivost med spletnimi mesti (XSS), ki vpliva na Popup Builder različice 4.2.3 in starejše. Prvič je bil razkrit novembra 2023.

V začetku leta 2024 je bila odkrita kampanja Balada Injector, ki je izkoristila to specifično ranljivost za okužbo več kot 6700 spletnih mest. To poudarja dejstvo, da številni skrbniki spletnih mest niso takoj uporabili popravkov za zmanjšanje tveganja. Pred kratkim so raziskovalci informacijske varnosti odkrili novo kampanjo, ki izkazuje znatno povečanje dejavnosti in cilja na isto ranljivost, ki je prisotna v vtičniku WordPress.

Dokazi kažejo, da so bile vbrizgane kode, povezane s to zadnjo kampanjo, odkrite na več kot 3000 spletnih mestih WordPress.

Veriga napadov, ki izkorišča ranljivost CVE-2023-6000 XSS

Napadi okužijo razdelke Custom JavaScript ali Custom CSS skrbniškega vmesnika WordPress, medtem ko je napačna koda shranjena v tabeli baze podatkov 'wp_postmeta'. Primarna funkcija vstavljene kode je, da deluje kot obdelovalnik dogodkov za različne dogodke vtičnika Popup Builder, kot so 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' in ' sgpb-DidClose.' S tem določena dejanja vtičnika sprožijo napačno kodo, na primer ko se odpre ali zapre pojavno okno.

Natančna dejanja kode se lahko razlikujejo. Kljub temu se zdi, da je glavni namen injekcij preusmerjanje obiskovalcev okuženih spletnih mest na nevarne cilje, kot so strani z lažnim predstavljanjem in spletna mesta z zlonamerno programsko opremo.

Natančneje, pri nekaterih okužbah so raziskovalci opazili kodo, ki vnaša preusmeritveni URL - 'http://ttincoming.traveltraffic.cc/?traffic' kot parameter 'redirect-url' za pojavno okno 'contact-form-7'. Vbrizgavanje nato pridobi delček slabe kode iz zunanjega vira in ga vbrizga v glavo spletne strani brskalnika za izvedbo.

Praktično je možno, da napadalci s to metodo dosežejo vrsto škodljivih ciljev, od katerih so mnogi morda resnejši od preusmeritev.

Sprejmite ukrepe za zaščito pred ranljivostjo CVE-2023-6000

Za učinkovito ublažitev teh napadov je priporočljivo blokirati dostop z dveh specifičnih domen, iz katerih izvirajo napadi. Poleg tega, če na svojem spletnem mestu uporabljate vtičnik Popup Builder, je ključnega pomena, da posodobite na najnovejšo različico, ki je trenutno različica 4.2.7. Ta posodobitev ne obravnava samo CVE-2023-6000, ampak tudi druge varnostne ranljivosti, ki lahko obstajajo.

Po statističnih podatkih WordPressa je približno 80.000 aktivnih spletnih mest, ki še vedno uporabljajo Popup Builder različice 4.1 in starejše. To kaže na precejšnjo napadalno površino, ki ostaja ranljiva. V primeru okužbe postopek odstranitve vključuje brisanje vseh nevarnih vnosov v razdelkih po meri orodja Popup Builder. Poleg tega je nujno opraviti temeljito skeniranje, da prepoznamo in odstranimo vsa skrita stranska vrata, ki bi lahko povzročila ponovno okužbo.