Ευπάθεια CVE-2023-6000 XSS που χρησιμοποιείται για στόχευση πάνω από 3.000 τοποθεσίες
Μια πρόσφατη άνοδος στις επιθέσεις που προέρχονται από μια νέα καμπάνια κακόβουλου λογισμικού εκμεταλλεύεται μια γνωστή ευπάθεια στο πρόσθετο WordPress Popup Builder, επηρεάζοντας περισσότερους από 3.300 ιστότοπους μέσω επιθέσεων XSS.
Η καμπάνια Balada Injector, που εντοπίστηκε τον Ιανουάριο, εκμεταλλεύτηκε μια ευπάθεια μεταξύ δέσμης ενεργειών (XSS) με την ένδειξη CVE-2023-6000, με βάση τη βαθμολογία CVSS 8,8.
Η Sucuri αναφέρει μια αξιοσημείωτη αύξηση των επιθέσεων τις τελευταίες τρεις εβδομάδες από μια συνεχιζόμενη καμπάνια κακόβουλου λογισμικού που στοχεύει συγκεκριμένα την ευπάθεια του Popup Builder στις εκδόσεις 4.2.3 και προγενέστερες.
Η απομακρυσμένη σάρωση κακόβουλου λογισμικού του SiteCheck της Sucuri έχει εντοπίσει μολύνσεις σε περισσότερους από 1.170 ιστότοπους. Οι τομείς που σχετίζονται με αυτές τις επιθέσεις καταχωρήθηκαν στις 12 Φεβρουαρίου 2024, λιγότερο από έναν μήνα πριν, συμπεριλαμβανομένων των ttincoming.traveltraffic[.]cc και host.cloudsonicwave[.]com.
Τρόπος λειτουργίας
Εκμεταλλευόμενοι μια γνωστή ευπάθεια στην προσθήκη του Popup Builder WordPress, οι εισβολείς εισάγουν κακόβουλο κώδικα στην ενότητα Custom JS ή CSS της διεπαφής διαχειριστή του WordPress, που είναι αποθηκευμένος στον πίνακα της βάσης δεδομένων wp_postmeta, όπως αποκαλύπτεται από το Sucuri στο Cyber Security News.
Αυτές οι ενέσεις καλύπτουν διάφορα συμβάντα δημιουργίας αναδυόμενων παραθύρων, όπως sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose, που αντιστοιχούν σε διαφορετικά στάδια της διαδικασίας εμφάνισης αναδυόμενου ιστότοπου στην επίσημη ιστοσελίδα.
Τρόποι για τον μετριασμό των επιπτώσεων του CVE-2023-6000
Για μετριασμό, συνιστάται στους ιδιοκτήτες προσθηκών του Popup Builder που δεν έχουν επιδιορθωθεί να ενημερώσουν το ευάλωτο πρόσθετο αμέσως ή να χρησιμοποιήσουν ένα τείχος προστασίας εφαρμογών ιστού για εικονική ενημέρωση κώδικα. Η επιβλαβής ένεση μπορεί να αφαιρεθεί μέσω της ενότητας "Προσαρμοσμένο JS ή CSS" του Popup Builder στη διεπαφή διαχειριστή του WordPress.
Για να αποφευχθεί η εκ νέου μόλυνση, συνιστάται διεξοδική σάρωση τόσο σε επίπεδο πελάτη όσο και σε επίπεδο διακομιστή για τον εντοπισμό τυχόν κρυφών κερκόπορτων ιστότοπου, σύμφωνα με ερευνητές. Αυτή η πρόσφατη καμπάνια κακόβουλου λογισμικού χρησιμεύει ως έντονη υπενθύμιση των κινδύνων που σχετίζονται με την παραμέληση της διατήρησης επιδιορθωμένου και ενημερωμένου λογισμικού ιστότοπου.
