CVE-2023-6000 XSS Vulnerability

Hakerët kanë kompromentuar faqet e internetit të WordPress duke shfrytëzuar një dobësi të gjetur në versionet e vjetëruara të shtojcës Popup Builder. Kjo ka rezultuar në infektimin e mbi 3,300 faqeve të internetit me kod të keq. Dobësia, e njohur si CVE-2023-6000, është një dobësi e skriptimit ndër-site (XSS) që ndikon në versionet 4.2.3 dhe më të hershme të Builder Popup. Ajo u zbulua për herë të parë në nëntor 2023.

Në fillim të vitit 2024, u zbulua një fushatë Balada Injector, duke përdorur këtë dobësi specifike për të infektuar më shumë se 6,700 faqe interneti. Kjo nxjerr në pah faktin se shumë administratorë të faqeve nuk kishin aplikuar menjëherë arna për të zbutur rrezikun. Kohët e fundit, studiuesit e sigurisë së informacionit kanë identifikuar një fushatë të re që shfaq një rritje të konsiderueshme të aktivitetit, duke synuar të njëjtën dobësi të pranishme në shtojcën WordPress.

Provat sugjerojnë se injeksione kodi të lidhura me këtë fushatë të fundit janë zbuluar në mbi 3,000 sajte të WordPress.

Zinxhiri i sulmit duke shfrytëzuar cenueshmërinë CVE-2023-6000 XSS

Sulmet infektojnë seksionet JavaScript të personalizuar ose CSS të personalizuar të ndërfaqes së administratorit të WordPress, ndërsa kodi i gabuar ruhet brenda tabelës së bazës së të dhënave 'wp_postmeta'. Funksioni kryesor i kodit të injektuar është të veprojë si mbajtës të ngjarjeve për ngjarje të ndryshme të shtojcave të Ndërtuesit të dritareve, të tilla si 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' dhe ' sgpb-DidClose.' Duke bërë këtë, kodi i gabuar shkaktohet nga veprime specifike të shtojcave, si kur hapet ose mbyllet një dritare kërcyese.

Veprimet e sakta të kodit mund të ndryshojnë. Megjithatë, qëllimi kryesor i injeksioneve duket të jetë ridrejtimi i vizitorëve të faqeve të infektuara në destinacione të pasigurta, si faqet e phishing dhe faqet që lëshojnë malware.

Në mënyrë të veçantë, në disa infeksione, studiuesit vëzhguan kodin duke injektuar një URL ridrejtuese - 'http://ttincoming.traveltraffic.cc/?traffic', si parametri 'redirect-url' për një dritare kërcyese 'contact-form-7'. Më pas, injeksioni e merr copëzën e kodit të keq nga një burim i jashtëm dhe e injekton atë në kokën e faqes së internetit të shfletuesit për ekzekutim.

Praktikisht, është e mundur që sulmuesit të arrijnë një sërë qëllimesh të dëmshme përmes kësaj metode, shumë prej tyre potencialisht më të rënda se ridrejtimet.

Merrni masa për të mbrojtur kundër cenueshmërisë CVE-2023-6000

Për të zbutur në mënyrë efektive këto sulme, është e këshillueshme që të bllokoni aksesin nga dy domenet specifike nga e kanë origjinën sulmet. Për më tepër, nëse jeni duke përdorur shtojcën Popup Builder në faqen tuaj të internetit, është thelbësore të përditësoni në versionin më të fundit, i cili aktualisht është versioni 4.2.7. Ky përditësim adreson jo vetëm CVE-2023-6000, por edhe dobësi të tjera të sigurisë që mund të ekzistojnë.

Sipas statistikave të WordPress, ka rreth 80,000 sajte aktive që ende përdorin versionet 4.1 dhe më të vjetra të Builder Popup. Kjo tregon një sipërfaqe të konsiderueshme sulmi që mbetet e pambrojtur. Në rast infeksioni, procesi i heqjes përfshin fshirjen e çdo hyrjeje të pasigurt të pranishme në seksionet e personalizuara të Ndërtuesit të dritareve kërcyese. Për më tepër, është thelbësore të kryhen skanime të plota për të identifikuar dhe hequr çdo dyer të pasme të fshehura që mund të çojnë në riinfeksion.