CVE-2023-6000 XSS Vulnerability
Kinokompromiso ng mga hacker ang mga website ng WordPress sa pamamagitan ng pagsasamantala sa isang kahinaan na makikita sa mga lumang bersyon ng plugin ng Popup Builder. Nagresulta ito sa impeksyon ng higit sa 3,300 mga website na may masamang code. Ang kahinaan, na kilala bilang CVE-2023-6000, ay isang cross-site scripting (XSS) na kahinaan na nakakaapekto sa Popup Builder na bersyon 4.2.3 at mas nauna. Una itong inihayag noong Nobyembre 2023.
Sa simula ng 2024, natuklasan ang isang Balada Injector campaign, na ginagamit ang partikular na kahinaan na ito upang mahawahan ang higit sa 6,700 website. Itinatampok nito ang katotohanang maraming mga administrator ng site ang hindi kaagad naglapat ng mga patch upang mabawasan ang panganib. Kamakailan, natukoy ng mga mananaliksik sa seguridad ng impormasyon ang isang bagong kampanya na nagpapakita ng makabuluhang pagtaas sa aktibidad, na nagta-target sa parehong kahinaan na nasa WordPress plugin.
Iminumungkahi ng ebidensya na ang mga iniksyon ng code na nauugnay sa pinakabagong kampanyang ito ay nakita sa mahigit 3,000 na mga site ng WordPress.
Ang Attack Chain na Nagsasamantala sa CVE-2023-6000 XSS Vulnerability
Ang mga pag-atake ay nakakaapekto sa mga seksyon ng Custom JavaScript o Custom CSS interface ng WordPress admin interface, habang ang maling code ay nakaimbak sa loob ng talahanayan ng database ng 'wp_postmeta'. Ang pangunahing pag-andar ng ini-inject na code ay upang kumilos bilang mga tagapangasiwa ng kaganapan para sa iba't ibang mga kaganapan ng plugin ng Popup Builder, tulad ng 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose', at ' sgpb-DidClose.' Sa paggawa nito, ang maling code ay na-trigger ng mga partikular na pagkilos ng plugin, tulad ng kapag ang isang popup ay nagbubukas o nagsasara.
Ang mga eksaktong aksyon ng code ay maaaring mag-iba. Gayunpaman, ang pangunahing layunin ng mga iniksyon ay lumilitaw na i-redirect ang mga bisita ng mga nahawaang site sa hindi ligtas na mga destinasyon tulad ng mga pahina ng phishing at mga site na nag-drop ng malware.
Sa partikular, sa ilang mga impeksyon, naobserbahan ng mga mananaliksik ang code na nag-inject ng isang redirect URL - 'http://ttincoming.traveltraffic.cc/?traffic,' bilang parameter na 'redirect-url' para sa popup na 'contact-form-7'. Kinukuha ng iniksyon ang masamang snippet ng code mula sa isang panlabas na pinagmulan at ini-inject ito sa head ng webpage ng browser para sa pagpapatupad.
Sa praktikal, posible para sa mga umaatake na makamit ang isang hanay ng mga mapaminsalang layunin sa pamamagitan ng pamamaraang ito, marami ang posibleng mas malala kaysa sa mga pag-redirect.
Gumawa ng mga Hakbang para Protektahan ang CVE-2023-6000 Vulnerability
Upang epektibong mabawasan ang mga pag-atakeng ito, ipinapayong harangan ang pag-access mula sa dalawang partikular na domain kung saan nagmula ang mga pag-atake. Bukod pa rito, kung ginagamit mo ang plugin ng Popup Builder sa iyong website, mahalagang mag-update sa pinakabagong bersyon, na kasalukuyang bersyon 4.2.7. Tinutugunan ng update na ito hindi lamang ang CVE-2023-6000 kundi pati na rin ang iba pang mga kahinaan sa seguridad na maaaring umiiral.
Ayon sa mga istatistika ng WordPress, may humigit-kumulang 80,000 aktibong site na gumagamit pa rin ng mga bersyon ng Popup Builder na 4.1 at mas luma. Ito ay nagpapahiwatig ng isang malaking pag-atake sa ibabaw na nananatiling mahina. Sa kaganapan ng isang impeksyon, ang proseso ng pag-alis ay nagsasangkot ng pagtanggal ng anumang hindi ligtas na mga entry na nasa mga custom na seksyon ng Popup Builder. Bukod dito, mahalagang magsagawa ng masusing pag-scan upang matukoy at maalis ang anumang nakatagong backdoor na maaaring humantong sa muling impeksyon.
