CVE-2023-6000 Vulnerabilità XSS utilizzata per colpire oltre 3.000 siti
Un recente aumento degli attacchi originati da una nuova campagna malware sta sfruttando una nota vulnerabilità nel plugin WordPress Popup Builder, colpendo più di 3.300 siti web attraverso attacchi XSS.
La campagna Balada Injector, identificata a gennaio, ha sfruttato una vulnerabilità di cross-site scripting (XSS) denominata CVE-2023-6000, che vantava un punteggio base CVSS di 8,8.
Sucuri segnala un notevole aumento degli attacchi nelle ultime tre settimane a causa di una campagna malware in corso che prende di mira specificamente la vulnerabilità Popup Builder nelle versioni 4.2.3 e precedenti.
La scansione remota del malware SiteCheck di Sucuri ha identificato infezioni su oltre 1.170 siti Web. I domini associati a questi attacchi sono stati registrati il 12 febbraio 2024, meno di un mese fa, inclusi ttincoming.traveltraffic[.]cc e host.cloudsonicwave[.]com.
Modalità di funzionamento
Sfruttando una vulnerabilità nota nel plugin WordPress Popup Builder, gli aggressori inseriscono codice dannoso nella sezione Custom JS o CSS dell'interfaccia di amministrazione di WordPress, archiviato nella tabella del database wp_postmeta, come rivelato da Sucuri a Cyber Security News.
Queste iniezioni coprono vari eventi di Popup Builder come sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose, corrispondenti a diverse fasi del processo di visualizzazione dei popup sul sito ufficiale.
Modi per mitigare l'impatto di CVE-2023-6000
Per mitigare il problema, si consiglia ai proprietari di plug-in Popup Builder senza patch di aggiornare tempestivamente il plug-in vulnerabile o di utilizzare un firewall per applicazioni Web per l'applicazione di patch virtuali. L'iniezione dannosa può essere rimossa tramite la sezione "JS o CSS personalizzato" del Popup Builder nell'interfaccia di amministrazione di WordPress.
Secondo i ricercatori, per prevenire la reinfezione, si consiglia una scansione approfondita sia a livello di client che di server per identificare eventuali backdoor di siti Web nascosti. Questa recente campagna malware serve a ricordare duramente i rischi associati alla mancata manutenzione del software del sito Web con patch e aggiornamenti.
