CVE-2023-6000 XSS pažeidžiamumas, naudojamas siekiant taikyti daugiau nei 3 000 svetainių

Neseniai išaugus atakoms, kilusioms dėl naujos kenkėjiškų programų kampanijos, išnaudojamas gerai žinomas „WordPress“ papildinio iškylančių langų kūrimo priemonės pažeidžiamumas, paveikiantis daugiau nei 3 300 svetainių per XSS atakas.

Sausio mėn. nustatyta Balada Injector kampanija pasinaudojo kelių svetainių scenarijų (XSS) pažeidžiamumu, pažymėtu CVE-2023-6000, kurio CVSS bazinis balas yra 8,8.

Sucuri praneša apie pastebimą atakų padidėjimą per pastarąsias tris savaites dėl vykdomos kenkėjiškų programų kampanijos, skirtos konkrečiai 4.2.3 ir ankstesnių versijų iššokančiųjų langų kūrimo priemonės pažeidžiamumui.

Sucuri SiteCheck nuotolinis kenkėjiškų programų nuskaitymas aptiko infekcijų daugiau nei 1 170 svetainių. Su šiomis atakomis susiję domenai buvo užregistruoti 2024 m. vasario 12 d., mažiau nei prieš mėnesį, įskaitant ttincoming.traveltraffic[.]cc ir host.cloudsonicwave[.]com.

Veikimo būdas

Išnaudodami žinomą „WordPress“ papildinio „Popup Builder“ pažeidžiamumą, užpuolikai įveda kenkėjišką kodą į „WordPress“ administratoriaus sąsajos tinkintą JS arba CSS skyrių, saugomą wp_postmeta duomenų bazės lentelėje, kaip „Sucuri“ atskleidė kibernetinio saugumo naujienoms.

Šios injekcijos apima įvairius iškylančiųjų langų kūrimo priemonės įvykius, tokius kaip sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose, atitinkančius skirtingus iššokančiųjų langų rodymo oficialioje svetainėje proceso etapus.

CVE-2023-6000 poveikio mažinimo būdai

Siekiant sušvelninimo, nepataisytų „Popup Builder“ papildinių savininkams patariama nedelsiant atnaujinti pažeidžiamą papildinį arba virtualiam pataisymui naudoti žiniatinklio programos užkardą. Kenksmingą injekciją galima pašalinti per „WordPress“ administratoriaus sąsajos iššokančiųjų langų kūrimo programos skyrių „Custom JS arba CSS“.

Pasak mokslininkų, norint išvengti pakartotinio užsikrėtimo, rekomenduojama atlikti kruopštų nuskaitymą tiek kliento, tiek serverio lygiu, siekiant nustatyti visas paslėptas svetainės užpakalines duris. Ši naujausia kenkėjiškų programų kampanija yra aiškus priminimas apie riziką, susijusią su pataisytos ir atnaujintos svetainės programinės įrangos nepaisymu.