CVE-2023-6000 XSS-Sicherheitslücke

Hacker haben WordPress-Websites kompromittiert, indem sie eine Schwachstelle in veralteten Versionen des Popup Builder-Plugins ausgenutzt haben. Dies hat zur Infektion von über 3.300 Websites mit schlechtem Code geführt. Bei der als CVE-2023-6000 bekannten Schwachstelle handelt es sich um eine Cross-Site-Scripting (XSS)-Schwachstelle, die Popup Builder-Versionen 4.2.3 und früher betrifft. Es wurde erstmals im November 2023 veröffentlicht.

Anfang 2024 wurde eine Balada-Injector-Kampagne entdeckt, die diese spezifische Schwachstelle ausnutzte, um mehr als 6.700 Websites zu infizieren. Dies unterstreicht die Tatsache, dass viele Site-Administratoren nicht umgehend Patches zur Risikominderung angewendet hatten. Kürzlich haben Forscher für Informationssicherheit eine neue Kampagne identifiziert, die einen deutlichen Anstieg der Aktivität aufweist und auf dieselbe Schwachstelle im WordPress-Plugin abzielt.

Es gibt Hinweise darauf, dass Code-Injektionen im Zusammenhang mit dieser neuesten Kampagne auf über 3.000 WordPress-Sites entdeckt wurden.

Die Angriffskette nutzt die XSS-Sicherheitslücke CVE-2023-6000 aus

Die Angriffe infizieren die benutzerdefinierten JavaScript- oder benutzerdefinierten CSS-Abschnitte der WordPress-Administratoroberfläche, während der falsche Code in der Datenbanktabelle „wp_postmeta“ gespeichert ist. Die Hauptfunktion des injizierten Codes besteht darin, als Ereignishandler für verschiedene Popup Builder-Plugin-Ereignisse zu fungieren, wie zum Beispiel „sgpb-ShouldOpen“, „sgpb-ShouldClose“, „sgpb-WillOpen“, „sgpbDidOpen“, „sgpbWillClose“ und „ sgpb-DidClose.' Dadurch wird der falsche Code durch bestimmte Plugin-Aktionen ausgelöst, etwa wenn ein Popup geöffnet oder geschlossen wird.

Die genauen Aktionen des Codes können variieren. Dennoch scheint der Hauptzweck der Injektionen darin zu bestehen, Besucher infizierter Websites auf unsichere Ziele wie Phishing-Seiten und Malware-Drop-Sites umzuleiten.

Insbesondere beobachteten die Forscher bei einigen Infektionen, dass der Code eine Weiterleitungs-URL – „http://ttincoming.traveltraffic.cc/?traffic“ – als „redirect-url“-Parameter für ein „contact-form-7“-Popup einfügte. Die Injektion ruft dann das fehlerhafte Code-Snippet von einer externen Quelle ab und injiziert es zur Ausführung in den Webseitenkopf des Browsers.

Praktisch ist es für die Angreifer möglich, mit dieser Methode eine Reihe schädlicher Ziele zu erreichen, von denen viele möglicherweise schwerwiegender sind als Umleitungen.

Ergreifen Sie Maßnahmen zum Schutz vor der Sicherheitslücke CVE-2023-6000

Um diese Angriffe effektiv einzudämmen, ist es ratsam, den Zugriff von den beiden spezifischen Domänen zu blockieren, von denen die Angriffe ausgehen. Wenn Sie außerdem das Popup Builder-Plugin auf Ihrer Website verwenden, ist es wichtig, auf die neueste Version zu aktualisieren, derzeit Version 4.2.7. Dieses Update behebt nicht nur CVE-2023-6000, sondern auch andere möglicherweise vorhandene Sicherheitslücken.

Laut WordPress-Statistiken gibt es noch etwa 80.000 aktive Websites, die Popup Builder-Versionen 4.1 und älter verwenden. Dies weist auf eine beträchtliche Angriffsfläche hin, die weiterhin anfällig ist. Im Falle einer Infektion umfasst der Entfernungsprozess das Löschen aller unsicheren Einträge in den benutzerdefinierten Abschnitten des Popup Builders. Darüber hinaus ist es wichtig, gründliche Scans durchzuführen, um versteckte Hintertüren zu identifizieren und zu entfernen, die zu einer erneuten Infektion führen könnten.