Vulnérabilité XSS CVE-2023-6000
Les pirates ont compromis les sites Web WordPress en exploitant une vulnérabilité trouvée dans les versions obsolètes du plugin Popup Builder. Cela a entraîné l’infection de plus de 3 300 sites Web avec du code moche. La vulnérabilité, connue sous le nom de CVE-2023-6000, est une vulnérabilité de script intersite (XSS) affectant les versions 4.2.3 et antérieures de Popup Builder. Il a été divulgué pour la première fois en novembre 2023.
Début 2024, une campagne Balada Injector a été découverte, utilisant cette vulnérabilité spécifique pour infecter plus de 6 700 sites Web. Cela met en évidence le fait que de nombreux administrateurs de sites n’ont pas appliqué rapidement les correctifs pour atténuer le risque. Récemment, des chercheurs en sécurité de l’information ont identifié une nouvelle campagne présentant une augmentation significative de l’activité, ciblant la même vulnérabilité présente dans le plugin WordPress.
Les preuves suggèrent que des injections de code associées à cette dernière campagne ont été détectées dans plus de 3 000 sites WordPress.
La chaîne d'attaque exploitant la vulnérabilité XSS CVE-2023-6000
Les attaques infectent les sections JavaScript personnalisé ou CSS personnalisé de l'interface d'administration WordPress, tandis que le mauvais code est stocké dans la table de base de données « wp_postmeta ». La fonction principale du code injecté est d'agir en tant que gestionnaires d'événements pour divers événements du plug-in Popup Builder, tels que « sgpb-ShouldOpen », « sgpb-ShouldClose », « sgpb-WillOpen », « sgpbDidOpen », « sgpbWillClose » et « sgpb-ShouldClose ». sgpb-DidClose.' En faisant cela, le mauvais code est déclenché par des actions spécifiques du plugin, comme lorsqu'une fenêtre contextuelle s'ouvre ou se ferme.
Les actions exactes du code peuvent varier. Pourtant, l’objectif principal des injections semble être de rediriger les visiteurs des sites infectés vers des destinations dangereuses telles que des pages de phishing et des sites de suppression de logiciels malveillants.
Plus précisément, dans certaines infections, les chercheurs ont observé que le code injectait une URL de redirection – « http://ttincoming.traveltraffic.cc/?traffic », comme paramètre « redirect-url » pour une fenêtre contextuelle « contact-form-7 ». L'injection récupère ensuite l'extrait de code incorrect à partir d'une source externe et l'injecte dans l'en-tête de la page Web du navigateur pour exécution.
En pratique, il est possible pour les attaquants d’atteindre une série d’objectifs nuisibles grâce à cette méthode, dont beaucoup sont potentiellement plus graves que les redirections.
Prendre des mesures pour vous protéger contre la vulnérabilité CVE-2023-6000
Pour atténuer efficacement ces attaques, il est conseillé de bloquer l'accès depuis les deux domaines spécifiques d'où proviennent les attaques. De plus, si vous utilisez le plugin Popup Builder sur votre site Web, il est essentiel de mettre à jour vers la dernière version, qui est actuellement la version 4.2.7. Cette mise à jour corrige non seulement CVE-2023-6000 mais également d'autres vulnérabilités de sécurité qui peuvent exister.
Selon les statistiques de WordPress, environ 80 000 sites actifs utilisent encore les versions 4.1 et antérieures de Popup Builder. Cela indique une surface d’attaque importante qui reste vulnérable. En cas d'infection, le processus de suppression implique la suppression de toutes les entrées dangereuses présentes dans les sections personnalisées de Popup Builder. De plus, il est essentiel d’effectuer des analyses approfondies pour identifier et supprimer toutes les portes dérobées cachées qui pourraient conduire à une réinfection.
