CVE-2023-6000 XSS-sårbarhet

Hackare har äventyrat WordPress-webbplatser genom att utnyttja en sårbarhet som finns i föråldrade versioner av plugin-programmet Popup Builder. Detta har resulterat i infektion av över 3 300 webbplatser med usel kod. Sårbarheten, känd som CVE-2023-6000, är en XSS-sårbarhet (cross-site scripting) som påverkar Popup Builder version 4.2.3 och tidigare. Det avslöjades första gången i november 2023.

I början av 2024 upptäcktes en Balada Injector-kampanj som utnyttjade denna specifika sårbarhet för att infektera mer än 6 700 webbplatser. Detta understryker det faktum att många webbplatsadministratörer inte omedelbart hade applicerat patchar för att minska risken. Nyligen har informationssäkerhetsforskare identifierat en ny kampanj som visar en betydande ökning av aktiviteten, inriktad på samma sårbarhet som finns i WordPress-plugin.

Bevis tyder på att kodinjektioner associerade med den här senaste kampanjen har upptäckts på över 3 000 WordPress-webbplatser.

Attackkedjan utnyttjar CVE-2023-6000 XSS-sårbarheten

Attackerna infekterar WordPress-admingränssnittets anpassade JavaScript- eller anpassade CSS-sektioner, medan fel kod lagras i databastabellen 'wp_postmeta'. Den primära funktionen för den injicerade koden är att fungera som händelsehanterare för olika Popup Builder-plugin-händelser, såsom 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' och ' sgpb-DidClose.' Genom att göra det utlöses fel kod av specifika plugin-åtgärder, som när en popup öppnas eller stängs.

De exakta åtgärderna för koden kan variera. Ändå verkar det primära syftet med injektionerna vara att omdirigera besökare på infekterade webbplatser till osäkra destinationer som nätfiskesidor och sajter som släpper skadlig programvara.

Specifikt, i vissa infektioner, observerade forskarna att koden injicerade en omdirigerings-URL - 'http://ttincoming.traveltraffic.cc/?traffic' som parametern 'redirect-url' för en 'contact-form-7' popup. Injektionen hämtar sedan det felaktiga kodavsnittet från en extern källa och injicerar det i webbläsarens webbsida för exekvering.

Praktiskt taget är det möjligt för angriparna att uppnå en rad skadliga mål genom denna metod, många potentiellt allvarligare än omdirigeringar.

Vidta åtgärder för att skydda mot CVE-2023-6000-sårbarheten

För att effektivt mildra dessa attacker är det tillrådligt att blockera åtkomst från de två specifika domänerna som attackerna kommer från. Dessutom, om du använder plugin-programmet Popup Builder på din webbplats, är det viktigt att uppdatera till den senaste versionen, som för närvarande är version 4.2.7. Den här uppdateringen åtgärdar inte bara CVE-2023-6000 utan även andra säkerhetsbrister som kan finnas.

Enligt WordPress statistik finns det cirka 80 000 aktiva webbplatser som fortfarande använder Popup Builder version 4.1 och äldre. Detta indikerar en betydande attackyta som förblir sårbar. I händelse av en infektion innebär borttagningsprocessen att alla osäkra poster som finns i Popup Builders anpassade sektioner tas bort. Dessutom är det viktigt att göra noggranna skanningar för att identifiera och ta bort eventuella dolda bakdörrar som kan leda till återinfektion.