CVE-2023-6000 ช่องโหว่ XSS

แฮกเกอร์ได้โจมตีเว็บไซต์ WordPress โดยใช้ช่องโหว่ที่พบในปลั๊กอิน Popup Builder เวอร์ชันล้าสมัย ส่งผลให้เกิดการติดไวรัสเว็บไซต์กว่า 3,300 แห่งด้วยโค้ดที่น่ารังเกียจ ช่องโหว่นี้เรียกว่า CVE-2023-6000 เป็นช่องโหว่แบบ Cross-site scripting (XSS) ที่ส่งผลกระทบต่อ Popup Builder เวอร์ชัน 4.2.3 และเวอร์ชันก่อนหน้า มีการเปิดเผยครั้งแรกในเดือนพฤศจิกายน พ.ศ. 2566

เมื่อต้นปี 2024 มีการค้นพบแคมเปญ Balada Injector โดยใช้ช่องโหว่เฉพาะนี้เพื่อแพร่ระบาดไปยังเว็บไซต์มากกว่า 6,700 แห่ง สิ่งนี้เน้นให้เห็นถึงความจริงที่ว่าผู้ดูแลไซต์จำนวนมากไม่ได้ใช้แพตช์เพื่อลดความเสี่ยงโดยทันที เมื่อเร็ว ๆ นี้ นักวิจัยด้านความปลอดภัยของข้อมูลได้ระบุแคมเปญใหม่ที่แสดงกิจกรรมเพิ่มขึ้นอย่างมาก โดยกำหนดเป้าหมายไปที่ช่องโหว่เดียวกันที่มีอยู่ในปลั๊กอิน WordPress

หลักฐานแสดงให้เห็นว่ามีการตรวจพบการแทรกโค้ดที่เกี่ยวข้องกับแคมเปญล่าสุดนี้ในไซต์ WordPress มากกว่า 3,000 แห่ง

ห่วงโซ่การโจมตีใช้ประโยชน์จากช่องโหว่ XSS ของ CVE-2023-6000

การโจมตีดังกล่าวแพร่ระบาดไปยังส่วน JavaScript แบบกำหนดเองหรือ CSS แบบกำหนดเองของอินเทอร์เฟซผู้ดูแลระบบ WordPress ในขณะที่โค้ดที่ไม่ถูกต้องถูกจัดเก็บไว้ในตารางฐานข้อมูล 'wp_postmeta' ฟังก์ชันหลักของโค้ดที่แทรกเข้าไปคือทำหน้าที่เป็นตัวจัดการเหตุการณ์สำหรับเหตุการณ์ปลั๊กอิน Popup Builder ต่างๆ เช่น 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' และ ' sgpb-DidClose.' เมื่อทำเช่นนั้น รหัสที่ไม่ถูกต้องจะถูกกระตุ้นโดยการทำงานของปลั๊กอินบางอย่าง เช่น เมื่อป๊อปอัปเปิดหรือปิด

การดำเนินการที่แน่นอนของโค้ดอาจแตกต่างกันไป ถึงกระนั้น วัตถุประสงค์หลักของการแทรกแซงดูเหมือนจะเปลี่ยนเส้นทางผู้เยี่ยมชมไซต์ที่ติดไวรัสไปยังปลายทางที่ไม่ปลอดภัย เช่น หน้าฟิชชิ่งและไซต์ที่วางมัลแวร์

โดยเฉพาะอย่างยิ่ง ในการติดไวรัสบางชนิด นักวิจัยสังเกตเห็นโค้ดที่แทรก URL เปลี่ยนเส้นทาง - 'http://ttincoming.traveltraffic.cc/?traffic' เป็นพารามิเตอร์ 'redirect-url' สำหรับป๊อปอัป 'contact-form-7' จากนั้นการแทรกจะดึงข้อมูลโค้ดที่ไม่ถูกต้องจากแหล่งภายนอกและแทรกลงในส่วนหัวของหน้าเว็บของเบราว์เซอร์เพื่อดำเนินการ

ในทางปฏิบัติแล้ว ผู้โจมตีสามารถบรรลุเป้าหมายที่เป็นอันตรายได้หลายวิธีด้วยวิธีนี้ ซึ่งหลายรายการอาจมีความรุนแรงมากกว่าการเปลี่ยนเส้นทาง

ใช้มาตรการเพื่อป้องกันช่องโหว่ CVE-2023-6000

เพื่อบรรเทาการโจมตีเหล่านี้อย่างมีประสิทธิภาพ ขอแนะนำให้บล็อกการเข้าถึงจากสองโดเมนที่เป็นแหล่งที่มาของการโจมตี นอกจากนี้ หากคุณใช้ปลั๊กอิน Popup Builder บนเว็บไซต์ของคุณ การอัปเดตเป็นเวอร์ชันล่าสุดซึ่งปัจจุบันคือเวอร์ชัน 4.2.7 ถือเป็นสิ่งสำคัญ การอัปเดตนี้ไม่เพียงแต่ระบุถึง CVE-2023-6000 เท่านั้น แต่ยังรวมถึงช่องโหว่ด้านความปลอดภัยอื่นๆ ที่อาจมีอยู่ด้วย

ตามสถิติของ WordPress มีไซต์ที่ใช้งานอยู่ประมาณ 80,000 แห่งที่ยังคงใช้ Popup Builder เวอร์ชัน 4.1 และเก่ากว่า สิ่งนี้บ่งชี้ถึงพื้นผิวการโจมตีจำนวนมากที่ยังคงมีความเสี่ยงอยู่ ในกรณีที่มีการติดไวรัส กระบวนการลบเกี่ยวข้องกับการลบรายการที่ไม่ปลอดภัยใดๆ ที่ปรากฏในส่วนที่กำหนดเองของ Popup Builder ยิ่งไปกว่านั้น การสแกนอย่างละเอียดเพื่อระบุและลบประตูหลังที่ซ่อนอยู่ที่อาจนำไปสู่การติดไวรัสอีกครั้งถือเป็นสิ่งสำคัญ