Vulnérabilité XSS CVE-2023-6000 utilisée pour cibler plus de 3 000 sites

Une récente recrudescence des attaques provenant d’une nouvelle campagne de malware exploite une vulnérabilité bien connue du plugin WordPress Popup Builder, affectant plus de 3 300 sites Web via des attaques XSS.

La campagne Balada Injector, identifiée en janvier, a profité d'une vulnérabilité de script intersite (XSS) appelée CVE-2023-6000, bénéficiant d'un score de base CVSS de 8,8.

Sucuri signale une augmentation notable des attaques au cours des trois dernières semaines suite à une campagne de malware en cours ciblant spécifiquement la vulnérabilité Popup Builder dans les versions 4.2.3 et antérieures.

L'analyse à distance des logiciels malveillants SiteCheck de Sucuri a identifié des infections sur plus de 1 170 sites Web. Les domaines associés à ces attaques ont été enregistrés le 12 février 2024, soit il y a moins d'un mois, notamment ttincoming.traveltraffic[.]cc et host.cloudsonicwave[.]com.

Mode de fonctionnement

Exploitant une vulnérabilité connue du plugin WordPress Popup Builder, les attaquants injectent du code malveillant dans la section Custom JS ou CSS de l'interface d'administration WordPress, stockée dans la table de la base de données wp_postmeta, comme l'a révélé Sucuri à Cyber Security News.

Ces injections couvrent divers événements Popup Builder tels que sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose, correspondant aux différentes étapes du processus d'affichage des popups sur le site officiel.

Moyens d'atténuer l'impact de CVE-2023-6000

À des fins d'atténuation, il est conseillé aux propriétaires de plugins Popup Builder non corrigés de mettre à jour le plugin vulnérable rapidement ou d'utiliser un pare-feu d'application Web pour l'application de correctifs virtuels. L'injection nuisible peut être supprimée via la section « Custom JS ou CSS » de Popup Builder dans l'interface d'administration de WordPress.

Pour éviter la réinfection, une analyse approfondie au niveau du client et du serveur est recommandée pour identifier les portes dérobées cachées des sites Web, selon les chercheurs. Cette récente campagne de logiciels malveillants nous rappelle brutalement les risques associés au fait de négliger la maintenance des logiciels de sites Web corrigés et mis à jour.