CVE-2023-6000 XSS-sårbarhet som används för att rikta in sig på över 3 000 webbplatser

En nyligen genomförd uppgång i attacker som härrör från en ny skadlig kodkampanj utnyttjar en välkänd sårbarhet i WordPress-plugin Popup Builder, som påverkar mer än 3 300 webbplatser genom XSS-attacker.

Balada Injector-kampanjen, som identifierades i januari, drog fördel av en sårbarhet för cross-site scripting (XSS) märkt CVE-2023-6000, med en CVSS-baspoäng på 8,8.

Sucuri rapporterar en märkbar ökning av attacker under de senaste tre veckorna från en pågående skadlig kampanj som specifikt inriktar sig på sårbarheten Popup Builder i version 4.2.3 och tidigare.

Sucuris SiteCheck fjärrskanning av skadlig programvara har identifierat infektioner på över 1 170 webbplatser. Domänerna associerade med dessa attacker registrerades den 12 februari 2024, för mindre än en månad sedan, inklusive ttincoming.traveltraffic[.]cc och host.cloudsonicwave[.]com.

Driftsätt

Genom att utnyttja en känd sårbarhet i Popup Builder WordPress-plugin, injicerar angripare skadlig kod i Custom JS- eller CSS-delen av WordPress-administratörsgränssnittet, lagrad i databastabellen wp_postmeta, som avslöjats av Sucuri för Cyber Security News.

Dessa injektioner täcker olika Popup Builder-händelser som sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose, motsvarande olika steg i popup-visningsprocessen på den officiella webbplatsen.

Sätt att minska effekten av CVE-2023-6000

För begränsning, ägare av oparpade Popup Builder-plugin-program rekommenderas att uppdatera det sårbara plugin-programmet omgående eller använda en webbapplikationsbrandvägg för virtuell patchning. Den skadliga injektionen kan tas bort via Popup Builders avsnitt "Anpassad JS eller CSS" i WordPress admingränssnitt.

För att förhindra återinfektion rekommenderas noggrann skanning på både klient- och servernivå för att identifiera eventuella dolda bakdörrar på webbplatsen, enligt forskare. Denna senaste skadliga kampanj tjänar som en skarp påminnelse om riskerna med att försumma att underhålla korrigerad och uppdaterad webbprogramvara.