CVE-2023-6000 XSS 漏洞用於針對 3,000 多個站點

最近，新的惡意軟體活動發起的攻擊有所增加，該活動利用了 WordPress 外掛 Popup Builder 中的一個眾所周知的漏洞，透過 XSS 攻擊影響了 3,300 多個網站。

1 月發現的 Balada Injector 活動利用了標記為 CVE-2023-6000 的跨站腳本 (XSS) 漏洞，CVSS 基本得分為 8.8。

Sucuri 報告稱，在過去三週內，專門針對版本 4.2.3 及更早版本中的 Popup Builder 漏洞的持續惡意軟體活動造成的攻擊明顯增加。

Sucuri 的 SiteCheck 遠端惡意軟體掃描已識別出 1,170 多個網站上的感染情況。與這些攻擊相關的網域註冊於 2024 年 2 月 12 日，不到一個月前，包括 ttincoming.traveltraffic[.]cc 和 host.cloudsonicwave[.]com。

操作模式

Sucuri 向《網路安全新聞》透露，利用 Popup Builder WordPress 外掛程式中的已知漏洞，攻擊者將惡意程式碼注入 WordPress 管理介面的自訂 JS 或 CSS 部分，這些程式碼儲存在 wp_postmeta 資料庫表中。

這些注入涵蓋了sgpb-ShouldOpen、sgpb-ShouldClose、sgpb-WillOpen、sgpbDidOpen、sgpbWillClose、sgpb-DidClose等各種Popup Builder事件，對應官網popup展示過程中的不同階段。

減輕 CVE-2023-6000 影響的方法

為了緩解影響，建議未修補的 Popup Builder 外掛程式的擁有者立即更新易受攻擊的外掛程式或使用 Web 應用程式防火牆進行虛擬修補。可以透過 WordPress 管理介面中 Popup Builder 的「自訂 JS 或 CSS」部分刪除有害注入。

研究人員表示，為了防止再次感染，建議在客戶端和伺服器層級進行徹底掃描，以識別任何隱藏的網站後門。最近的這場惡意軟體活動清楚提醒人們，忽視維護修補和更新的網站軟體會帶來風險。