CVE-2023-6000 XSS Güvenlik Açığı

Bilgisayar korsanları, Popup Builder eklentisinin eski sürümlerinde bulunan bir güvenlik açığından yararlanarak WordPress web sitelerinin güvenliğini tehlikeye atıyor. Bu, 3.300'den fazla web sitesine kötü kod bulaşmasıyla sonuçlandı. CVE-2023-6000 olarak bilinen güvenlik açığı, Popup Builder 4.2.3 ve önceki sürümlerini etkileyen bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır. İlk olarak Kasım 2023'te açıklandı.

2024'ün başında, bu özel güvenlik açığından yararlanarak 6.700'den fazla web sitesine bulaşan bir Balada Enjektör kampanyası keşfedildi. Bu, birçok site yöneticisinin riski azaltmak için hemen yama uygulamadığı gerçeğini vurgulamaktadır. Son zamanlarda bilgi güvenliği araştırmacıları, WordPress eklentisinde bulunan aynı güvenlik açığını hedef alan, etkinlikte önemli bir artış gösteren yeni bir kampanya belirlediler.

Kanıtlar, bu son kampanyayla ilişkili kod enjeksiyonlarının 3.000'den fazla WordPress sitesinde tespit edildiğini gösteriyor.

CVE-2023-6000 XSS Güvenlik Açığından Yararlanan Saldırı Zinciri

Saldırılar, WordPress yönetici arayüzünün Özel JavaScript veya Özel CSS bölümlerini etkilerken, 'wp_postmeta' veritabanı tablosunda yanlış kod depolanıyor. Enjekte edilen kodun birincil işlevi, 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' ve ' gibi çeşitli Popup Builder eklenti olayları için olay işleyicileri olarak görev yapmaktır. sgpb-DidClose.' Bunu yaparak, bir açılır pencerenin açılması veya kapanması gibi belirli eklenti eylemleri tarafından yanlış kod tetiklenir.

Kodun tam eylemleri farklılık gösterebilir. Yine de, enjeksiyonların temel amacının, virüslü sitelerin ziyaretçilerini kimlik avı sayfaları ve kötü amaçlı yazılım bırakma siteleri gibi güvenli olmayan hedeflere yönlendirmek olduğu görülüyor.

Spesifik olarak, bazı enfeksiyonlarda araştırmacılar, kodun 'contact-form-7' açılır penceresi için 'redirect-url' parametresi olarak 'http://ttincoming.traveltraffic.cc/?traffic' yönlendirme URL'sini enjekte ettiğini gözlemlediler. Enjeksiyon daha sonra harici bir kaynaktan hatalı kod pasajını alır ve yürütülmek üzere tarayıcının web sayfası başlığına enjekte eder.

Pratik olarak, saldırganların bu yöntemle bir dizi zararlı hedefe ulaşması mümkündür; bunların çoğu potansiyel olarak yeniden yönlendirmelerden daha şiddetlidir.

CVE-2023-6000 Güvenlik Açığına Karşı Korunmak İçin Önlemler Alın

Bu saldırıları etkili bir şekilde azaltmak için, saldırıların kaynaklandığı iki belirli alandan erişimin engellenmesi önerilir. Ayrıca, web sitenizde Popup Builder eklentisini kullanıyorsanız, şu anda 4.2.7 sürümü olan en son sürüme güncellemeniz çok önemlidir. Bu güncelleme yalnızca CVE-2023-6000'i değil aynı zamanda mevcut olabilecek diğer güvenlik açıklarını da giderir.

WordPress istatistiklerine göre halen Popup Builder 4.1 ve daha eski sürümlerini kullanan yaklaşık 80.000 aktif site var. Bu, savunmasız kalan önemli bir saldırı yüzeyinin varlığını gösterir. Virüs bulaşması durumunda kaldırma işlemi, Popup Builder'ın özel bölümlerinde bulunan tüm güvenli olmayan girişlerin silinmesini içerir. Ayrıca, yeniden enfeksiyona yol açabilecek gizli arka kapıları tespit etmek ve kaldırmak için kapsamlı taramalar yapmak çok önemlidir.