Lỗ hổng CVE-2023-6000 XSS
Tin tặc đã xâm phạm các trang web WordPress bằng cách khai thác lỗ hổng được tìm thấy trong các phiên bản lỗi thời của plugin Popup Builder. Điều này đã dẫn đến việc hơn 3.300 trang web bị nhiễm mã độc. Lỗ hổng có tên CVE-2023-6000, là lỗ hổng tập lệnh chéo trang (XSS) ảnh hưởng đến Popup Builder phiên bản 4.2.3 trở về trước. Nó được tiết lộ lần đầu tiên vào tháng 11 năm 2023.
Vào đầu năm 2024, một chiến dịch Balada Injector đã được phát hiện, lợi dụng lỗ hổng cụ thể này để lây nhiễm hơn 6.700 trang web. Điều này nhấn mạnh thực tế là nhiều quản trị viên trang web đã không kịp thời áp dụng các bản vá để giảm thiểu rủi ro. Gần đây, các nhà nghiên cứu bảo mật thông tin đã xác định được một chiến dịch mới có hoạt động gia tăng đáng kể, nhắm vào lỗ hổng tương tự có trong plugin WordPress.
Bằng chứng cho thấy việc tiêm mã liên quan đến chiến dịch mới nhất này đã được phát hiện trên hơn 3.000 trang web WordPress.
Chuỗi tấn công khai thác lỗ hổng CVE-2023-6000 XSS
Các cuộc tấn công lây nhiễm vào các phần JavaScript tùy chỉnh hoặc CSS tùy chỉnh của giao diện quản trị viên WordPress, trong khi mã sai được lưu trữ trong bảng cơ sở dữ liệu 'wp_postmeta'. Chức năng chính của mã được chèn là hoạt động như trình xử lý sự kiện cho các sự kiện plugin Trình tạo Popup khác nhau, chẳng hạn như 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' và ' sgpb-DidClose.' Bằng cách đó, mã sai sẽ được kích hoạt bởi các hành động cụ thể của plugin, chẳng hạn như khi cửa sổ bật lên mở hoặc đóng.
Các hành động chính xác của mã có thể khác nhau. Tuy nhiên, mục đích chính của việc tiêm nhiễm dường như là chuyển hướng khách truy cập các trang web bị nhiễm đến các điểm đến không an toàn như các trang lừa đảo và các trang web phát tán phần mềm độc hại.
Cụ thể, trong một số trường hợp lây nhiễm, các nhà nghiên cứu đã quan sát thấy mã đưa URL chuyển hướng - 'http://ttincoming.traveltraffic.cc/?traffic', làm tham số 'redirect-url' cho cửa sổ bật lên 'contact-form-7'. Sau đó, quá trình tiêm sẽ lấy đoạn mã xấu từ nguồn bên ngoài và đưa đoạn mã đó vào phần đầu trang web của trình duyệt để thực thi.
Trên thực tế, những kẻ tấn công có thể đạt được nhiều mục tiêu có hại thông qua phương pháp này, nhiều mục tiêu có thể còn nghiêm trọng hơn cả việc chuyển hướng.
Thực hiện các biện pháp để bảo vệ khỏi lỗ hổng CVE-2023-6000
Để giảm thiểu các cuộc tấn công này một cách hiệu quả, bạn nên chặn quyền truy cập từ hai miền cụ thể nơi các cuộc tấn công bắt nguồn. Ngoài ra, nếu bạn đang sử dụng plugin Trình tạo Popup trên trang web của mình thì điều quan trọng là phải cập nhật lên phiên bản mới nhất, hiện tại là phiên bản 4.2.7. Bản cập nhật này không chỉ giải quyết CVE-2023-6000 mà còn giải quyết các lỗ hổng bảo mật khác có thể tồn tại.
Theo thống kê của WordPress, có khoảng 80.000 trang đang hoạt động vẫn sử dụng Popup Builder phiên bản 4.1 trở lên. Điều này cho thấy một bề mặt tấn công đáng kể vẫn dễ bị tổn thương. Trong trường hợp bị lây nhiễm, quá trình xóa bao gồm việc xóa mọi mục nhập không an toàn có trong các phần tùy chỉnh của Trình tạo cửa sổ bật lên. Hơn nữa, điều cần thiết là phải tiến hành quét kỹ lưỡng để xác định và loại bỏ mọi cửa hậu ẩn có thể dẫn đến tái nhiễm.
