CVE-2023-6000 Уразливість XSS

Хакери скомпрометували веб-сайти WordPress, використовуючи вразливість, знайдену в застарілих версіях плагіна Popup Builder. Це призвело до зараження понад 3300 веб-сайтів з поганим кодом. Уразливість, відома як CVE-2023-6000, є уразливістю міжсайтового сценарію (XSS), що впливає на Popup Builder версії 4.2.3 і раніших. Вперше він був оприлюднений у листопаді 2023 року.

На початку 2024 року було виявлено кампанію Balada Injector, яка використовує цю специфічну вразливість для зараження понад 6700 веб-сайтів. Це підкреслює той факт, що багато адміністраторів сайту не вчасно застосували виправлення для зменшення ризику. Нещодавно дослідники з інформаційної безпеки виявили нову кампанію, що демонструє значне збільшення активності, націлену на ту саму вразливість, що є в плагіні WordPress.

Докази свідчать про те, що впровадження коду, пов’язане з цією останньою кампанією, було виявлено на понад 3000 сайтах WordPress.

Ланцюжок атак з використанням уразливості CVE-2023-6000 XSS

Атаки заражають користувацький JavaScript або користувацький CSS-секції інтерфейсу адміністратора WordPress, а неправильний код зберігається в таблиці бази даних wp_postmeta. Основною функцією впровадженого коду є діяти як обробники подій для різних подій плагіна Popup Builder, таких як «sgpb-ShouldOpen», «sgpb-ShouldClose», «sgpb-WillOpen», «sgpbDidOpen», «sgpbWillClose» і « sgpb-DidClose.' При цьому неправильний код запускається певними діями плагіна, наприклад, коли відкривається або закривається спливаюче вікно.

Точні дії коду можуть відрізнятися. І все ж основною метою ін’єкцій є перенаправлення відвідувачів заражених сайтів на небезпечні місця, такі як фішингові сторінки та сайти, де скидається шкідливе програмне забезпечення.

Зокрема, під час деяких заражень дослідники помітили код, який вставляв URL-адресу перенаправлення - "http://ttincoming.traveltraffic.cc/?traffic" як параметр "redirect-url" для спливаючого вікна "contact-form-7". Потім ін’єкція отримує пошкоджений фрагмент коду із зовнішнього джерела та вставляє його в заголовок веб-сторінки браузера для виконання.

На практиці зловмисники можуть досягти цілого ряду шкідливих цілей за допомогою цього методу, багато з яких потенційно є більш серйозними, ніж перенаправлення.

Вживайте заходів для захисту від уразливості CVE-2023-6000

Щоб ефективно пом’якшити ці атаки, доцільно заблокувати доступ з двох конкретних доменів, з яких походять атаки. Крім того, якщо ви використовуєте плагін Popup Builder на своєму веб-сайті, дуже важливо оновити його до останньої версії, яка наразі є 4.2.7. Це оновлення усуває не лише CVE-2023-6000, але й інші можливі вразливості системи безпеки.

Згідно зі статистикою WordPress, близько 80 000 активних сайтів все ще використовують Popup Builder версії 4.1 і старіші. Це вказує на значну поверхню атаки, яка залишається вразливою. У разі зараження процес видалення передбачає видалення будь-яких небезпечних записів, присутніх у спеціальних розділах Popup Builder. Крім того, дуже важливо проводити ретельне сканування, щоб виявити та видалити будь-які приховані бекдори, які можуть призвести до повторного зараження.