CVE-2023-6000 XSS-Schwachstelle, die zum Ziel von über 3.000 Websites genutzt wird
Ein aktueller Aufschwung bei Angriffen, die von einer neuen Malware-Kampagne ausgehen, nutzt eine bekannte Schwachstelle im WordPress-Plugin Popup Builder aus und betrifft mehr als 3.300 Websites durch XSS-Angriffe.
Die im Januar identifizierte Balada-Injector-Kampagne nutzte eine Cross-Site-Scripting (XSS)-Schwachstelle mit der Bezeichnung CVE-2023-6000 aus, die einen CVSS-Basiswert von 8,8 aufweist.
Sucuri meldet einen deutlichen Anstieg der Angriffe in den letzten drei Wochen aufgrund einer laufenden Malware-Kampagne, die speziell auf die Popup Builder-Schwachstelle in den Versionen 4.2.3 und früher abzielt.
Sucuris SiteCheck-Remote-Malware-Scanning hat Infektionen auf über 1.170 Websites identifiziert. Die mit diesen Angriffen verbundenen Domains wurden am 12. Februar 2024, also vor weniger als einem Monat, registriert, darunter ttincoming.traveltraffic[.]cc und host.cloudsonicwave[.]com.
Arbeitsweise
Unter Ausnutzung einer bekannten Schwachstelle im WordPress-Plugin „Popup Builder“ schleusen Angreifer bösartigen Code in den Abschnitt „Custom JS“ oder „CSS“ der WordPress-Administrationsoberfläche ein, der in der Datenbanktabelle „wp_postmeta“ gespeichert ist, wie Sucuri gegenüber Cyber Security News enthüllte.
Diese Injektionen decken verschiedene Popup Builder-Ereignisse wie sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose ab, die verschiedenen Phasen im Popup-Anzeigeprozess auf der offiziellen Website entsprechen.
Möglichkeiten zur Abmilderung der Auswirkungen von CVE-2023-6000
Zur Schadensbegrenzung wird Besitzern ungepatchter Popup Builder-Plugins empfohlen, das anfällige Plugin umgehend zu aktualisieren oder eine Webanwendungs-Firewall für virtuelles Patchen einzusetzen. Die schädliche Injektion kann über den Abschnitt „Benutzerdefiniertes JS oder CSS“ des Popup Builders in der WordPress-Administratoroberfläche entfernt werden.
Um eine erneute Infektion zu verhindern, wird laut Forschern ein gründliches Scannen sowohl auf Client- als auch auf Serverebene empfohlen, um versteckte Website-Hintertüren zu identifizieren. Diese jüngste Malware-Kampagne ist eine deutliche Erinnerung an die Risiken, die mit der Vernachlässigung der Wartung gepatchter und aktualisierter Website-Software verbunden sind.
