XSS-уязвимость CVE-2023-6000 используется для атак на более чем 3000 сайтов

Недавний всплеск атак, вызванных новой кампанией вредоносного ПО, использует известную уязвимость в плагине WordPress Popup Builder, затрагивающую более 3300 веб-сайтов посредством XSS-атак.

Кампания Balada Injector, выявленная в январе, использовала уязвимость межсайтового скриптинга (XSS), обозначенную CVE-2023-6000, с базовым рейтингом CVSS 8,8.

Sucuri сообщает о заметном росте числа атак за последние три недели в результате продолжающейся кампании вредоносного ПО, специально нацеленной на уязвимость Popup Builder в версиях 4.2.3 и более ранних версиях.

Удаленное сканирование вредоносного ПО SiteCheck компании Sucuri выявило заражения на более чем 1170 веб-сайтах. Домены, связанные с этими атаками, были зарегистрированы 12 февраля 2024 года, менее месяца назад, включая ttincoming.traveltraffic[.]cc и host.cloudsonicwave[.]com.

Режим работы

Используя известную уязвимость в плагине WordPress Popup Builder, злоумышленники внедряют вредоносный код в раздел Custom JS или CSS интерфейса администратора WordPress, хранящийся в таблице базы данных wp_postmeta, как сообщил Сукури изданию Cyber Security News.

Эти инъекции охватывают различные события Popup Builder, такие как sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose, соответствующие различным этапам процесса отображения всплывающих окон на официальном сайте.

Способы смягчения воздействия CVE-2023-6000

В целях смягчения последствий владельцам необновленных плагинов Popup Builder рекомендуется как можно скорее обновить уязвимый плагин или использовать брандмауэр веб-приложений для виртуального исправления. Вредоносную инъекцию можно удалить через раздел «Пользовательский JS или CSS» Popup Builder в интерфейсе администратора WordPress.

По мнению исследователей, чтобы предотвратить повторное заражение, рекомендуется тщательное сканирование как на уровне клиента, так и на уровне сервера для выявления скрытых бэкдоров веб-сайтов. Эта недавняя кампания по распространению вредоносного ПО служит ярким напоминанием о рисках, связанных с пренебрежением обновлением программного обеспечения веб-сайтов.