ЦВЕ-2023-6000 КССС рањивост
Хакери су компромитовали ВордПресс веб локације тако што су искоришћавали рањивост која се налази у застарелим верзијама додатка Попуп Буилдер. Ово је резултирало инфекцијом преко 3.300 веб локација са лошим кодом. Рањивост, позната као ЦВЕ-2023-6000, је рањивост скриптовања на више локација (КССС) која утиче на Попуп Буилдер верзије 4.2.3 и раније. Први пут је објављен у новембру 2023.
Почетком 2024. откривена је кампања Балада Ињецтор која је користила ову специфичну рањивост за заразу више од 6.700 веб локација. Ово наглашава чињеницу да многи администратори сајтова нису одмах применили закрпе да би ублажили ризик. Недавно су истраживачи безбедности информација идентификовали нову кампању која показује значајно повећање активности, циљајући на исту рањивост која је присутна у ВордПресс додатку.
Докази сугеришу да су ињекције кода повезане са овом најновијом кампањом откривене на преко 3.000 ВордПресс сајтова.
Ланац напада искоришћава ЦВЕ-2023-6000 КССС рањивост
Напади инфицирају прилагођени ЈаваСцрипт или прилагођени ЦСС одељак ВордПресс администраторског интерфејса, док је погрешан код ускладиштен у табели базе података „вп_постмета“. Примарна функција убаченог кода је да делује као обрађивач догађаја за различите догађаје додатка за Попуп Буилдер, као што су 'сгпб-СхоулдОпен', 'сгпб-СхоулдЦлосе', 'сгпб-ВиллОпен', 'сгпбДидОпен', 'сгпбВиллЦлосе' сгпб-ДидЦлосе.' Радећи то, погрешан код се покреће одређеним радњама додатка, на пример када се искачући прозор отвори или затвори.
Тачне радње кода могу се разликовати. Ипак, чини се да је примарна сврха ињекција преусмеравање посетилаца заражених сајтова на несигурна одредишта као што су странице за крађу идентитета и сајтови за избацивање малвера.
Конкретно, код неких инфекција, истраживачи су приметили да код убацује УРЛ за преусмеравање – „хттп://ттинцоминг.травелтраффиц.цц/?траффиц“, као параметар „редирецт-урл“ за искачући прозор „цонтацт-форм-7“. Ињекција затим преузима исечак лошег кода из спољног извора и убризгава га у главу веб странице претраживача ради извршавања.
Практично, могуће је да нападачи овим методом постигну низ штетних циљева, од којих су многи потенцијално озбиљнији од преусмеравања.
Предузмите мере за заштиту од рањивости ЦВЕ-2023-6000
Да бисте ефикасно ублажили ове нападе, препоручљиво је блокирати приступ са два специфична домена из којих напади потичу. Поред тога, ако користите додатак Попуп Буилдер на својој веб локацији, кључно је да ажурирате на најновију верзију, која је тренутно верзија 4.2.7. Ово ажурирање се односи не само на ЦВЕ-2023-6000, већ и на друге безбедносне пропусте који могу постојати.
Према ВордПресс статистици, постоји око 80.000 активних сајтова који још увек користе Попуп Буилдер верзије 4.1 и старије. Ово указује на значајну површину напада која остаје рањива. У случају инфекције, процес уклањања укључује брисање свих небезбедних уноса присутних у прилагођеним одељцима Попуп Буилдер-а. Штавише, од суштинске је важности да се спроведу темељна скенирања да би се идентификовала и уклонила свака скривена задња врата која би могла довести до поновне инфекције.
