CVE-2023-6000 XSS 漏洞用于针对 3,000 多个站点

最近，新的恶意软件活动发起的攻击有所增加，该活动利用了 WordPress 插件 Popup Builder 中的一个众所周知的漏洞，通过 XSS 攻击影响了 3,300 多个网站。

1 月份发现的 Balada Injector 活动利用了标记为 CVE-2023-6000 的跨站脚本 (XSS) 漏洞，其 CVSS 基本得分为 8.8。

Sucuri 报告称，过去三周内，专门针对版本 4.2.3 及更早版本中的 Popup Builder 漏洞的持续恶意软件活动造成的攻击明显增加。

Sucuri 的 SiteCheck 远程恶意软件扫描已识别出 1,170 多个网站上的感染情况。与这些攻击相关的域名注册于 2024 年 2 月 12 日，不到一个月前，包括 ttincoming.traveltraffic[.]cc 和 host.cloudsonicwave[.]com。

操作模式

Sucuri 向《网络安全新闻》透露，利用 Popup Builder WordPress 插件中的一个已知漏洞，攻击者将恶意代码注入 WordPress 管理界面的自定义 JS 或 CSS 部分，这些代码存储在 wp_postmeta 数据库表中。

这些注入涵盖了sgpb-ShouldOpen、sgpb-ShouldClose、sgpb-WillOpen、sgpbDidOpen、sgpbWillClose、sgpb-DidClose等各种Popup Builder事件，对应官网popup展示过程中的不同阶段。

减轻 CVE-2023-6000 影响的方法

为了缓解影响，建议未修补的 Popup Builder 插件的所有者立即更新易受攻击的插件或使用 Web 应用程序防火墙进行虚拟修补。可以通过 WordPress 管理界面中 Popup Builder 的“自定义 JS 或 CSS”部分删除有害注入。

研究人员表示，为了防止再次感染，建议在客户端和服务器级别进行彻底扫描，以识别任何隐藏的网站后门。最近的这一恶意软件活动清楚地提醒人们，忽视维护修补和更新的网站软件会带来风险。