Vulnerabilidad XSS CVE-2023-6000 utilizada para atacar a más de 3000 sitios
Un reciente aumento de los ataques originados por una nueva campaña de malware está explotando una vulnerabilidad bien conocida en el complemento de WordPress Popup Builder, que afecta a más de 3.300 sitios web a través de ataques XSS.
La campaña Balada Injector, identificada en enero, aprovechó una vulnerabilidad de secuencias de comandos entre sitios (XSS) denominada CVE-2023-6000, con una puntuación base CVSS de 8,8.
Sucuri informa un aumento notable en los ataques en las últimas tres semanas debido a una campaña de malware en curso dirigida específicamente a la vulnerabilidad Popup Builder en las versiones 4.2.3 y anteriores.
El análisis remoto de malware SiteCheck de Sucuri ha identificado infecciones en más de 1.170 sitios web. Los dominios asociados con estos ataques se registraron el 12 de febrero de 2024, hace menos de un mes, incluidos ttincoming.traveltraffic[.]cc y host.cloudsonicwave[.]com.
Modo de operación
Al explotar una vulnerabilidad conocida en el complemento Popup Builder de WordPress, los atacantes inyectan código malicioso en la sección Custom JS o CSS de la interfaz de administración de WordPress, almacenado en la tabla de base de datos wp_postmeta, según reveló Sucuri a Cyber Security News.
Estas inyecciones cubren varios eventos de Popup Builder, como sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose, correspondientes a diferentes etapas en el proceso de visualización de ventanas emergentes en el sitio web oficial.
Formas de mitigar el impacto de CVE-2023-6000
Para mitigarlo, se recomienda a los propietarios de complementos de Popup Builder sin parches que actualicen el complemento vulnerable lo antes posible o que empleen un firewall de aplicaciones web para aplicar parches virtuales. La inyección dañina se puede eliminar a través de la sección "JS o CSS personalizado" del Popup Builder en la interfaz de administración de WordPress.
Según los investigadores, para evitar la reinfección, se recomienda un escaneo exhaustivo tanto a nivel del cliente como del servidor para identificar cualquier puerta trasera oculta del sitio web. Esta reciente campaña de malware sirve como un claro recordatorio de los riesgos asociados con la negligencia en el mantenimiento del software del sitio web parcheado y actualizado.
