Luka w zabezpieczeniach XSS CVE-2023-6000 wykorzystywana do ataków na ponad 3000 witryn

Niedawny wzrost liczby ataków wynikających z nowej kampanii złośliwego oprogramowania wykorzystuje dobrze znaną lukę w zabezpieczeniach wtyczki WordPress Popup Builder, atakując ponad 3300 witryn internetowych poprzez ataki XSS.

Zidentyfikowana w styczniu kampania Balada Injector wykorzystywała lukę w zabezpieczeniach typu cross-site scripting (XSS) oznaczoną jako CVE-2023-6000 i uzyskała bazowy wynik CVSS na poziomie 8,8.

Sucuri zgłasza zauważalny wzrost liczby ataków w ciągu ostatnich trzech tygodni w wyniku trwającej kampanii szkodliwego oprogramowania, której celem była w szczególności luka w programie Popup Builder w wersjach 4.2.3 i wcześniejszych.

Zdalne skanowanie złośliwego oprogramowania Sucuri SiteCheck zidentyfikowało infekcje w ponad 1170 witrynach internetowych. Domeny powiązane z tymi atakami zostały zarejestrowane 12 lutego 2024 r., niecały miesiąc temu, włączając ttincoming.traveltraffic[.]cc i host.cloudsonicwave[.]com.

Tryb działania

Wykorzystując znaną lukę we wtyczce Popup Builder WordPress, napastnicy wstrzykują złośliwy kod do sekcji Custom JS lub CSS interfejsu administracyjnego WordPressa, przechowywanej w tabeli bazy danych wp_postmeta, jak ujawnił Sucuri dla Cyber Security News.

Te zastrzyki obejmują różne zdarzenia Popup Builder, takie jak sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose, odpowiadające różnym etapom procesu wyświetlania wyskakujących okienek na oficjalnej stronie internetowej.

Sposoby łagodzenia wpływu CVE-2023-6000

Aby temu zaradzić, właścicielom niezałatanych wtyczek Popup Builder zaleca się niezwłoczną aktualizację podatnej wtyczki lub skorzystanie z zapory sieciowej aplikacji internetowej w celu wirtualnego łatania. Szkodliwy zastrzyk można usunąć za pomocą sekcji „Niestandardowy JS lub CSS” narzędzia Popup Builder w interfejsie administracyjnym WordPress.

Zdaniem badaczy, aby zapobiec ponownej infekcji, zaleca się dokładne skanowanie zarówno na poziomie klienta, jak i serwera w celu zidentyfikowania wszelkich ukrytych backdoorów witryn internetowych. Ta niedawna kampania dotycząca złośliwego oprogramowania stanowi wyraźne przypomnienie zagrożeń związanych z zaniedbaniem konserwacji i aktualizacji oprogramowania witryn internetowych.