Technologie einfach erklärt

WordPress-Plugin-Sicherheitsanfälligkeit ausgenutzt: Bislang 3.300 kompromittierte Seiten

WordPress-Plugin-Sicherheitsanfälligkeit ausgenutzt: Bislang 3.300 kompromittierte Seiten Hacker haben erneut eine Sicherheitsanfälligkeit in veralteten Versionen des Popup Builder-Plugins von WordPress-Webseiten ausgenutzt. Laut PublicWWW hat dieser Schadcode bis zu 3300 Webseiten durch diese neue Kampagne infiziert.

Der zur Attacke auf die Webseiten genutzte Fehler ist CVE-2023-6000, eine Cross-Site-Scripting (XSS) Anfälligkeit, die Popup Builder-Versionen 4.2.3 und älter betrifft. Die Informationen wurden erstmals im November 2023 bekannt gegeben.

Diese Sicherheitsanfälligkeit wurde auch in der Balada Injector-Kampagne verwendet und hat 6700 Seiten infiziert, was darauf hindeutet, dass die Webseiten-Administratoren nicht die notwendigen Maßnahmen ergriffen haben, um dies zu verhindern.

Sucuri war das erste Unternehmen, das die neue Kampagne berichtete und die damit verbundenen Code-Injektionen in 3329 WordPress-Webseiten fand.

Als Sucuri ihren entfernten Malware-Scanner einsetzte, fanden sie die Malware auf mehr als 1.170 Seiten. Der Blogbeitrag erwähnte auch:

Diese Angriffe werden von Domains orchestriert, die weniger als einen Monat alt sind, mit Registrierungen, die auf den 12. Februar 2024 zurückgehen:

  • ttincoming. traveltraffic[.]cc
  • host. cloudsonicwave[.]com

Details der Injektion

Die Angriffe nutzten eine bekannte Sicherheitsanfälligkeit im Popup Builder-Plugin aus, um den Abschnitt für benutzerdefiniertes CSS oder benutzerdefiniertes JavaScript der WordPress-Administrationsoberfläche zu infizieren. Der bösartige Code wird jedoch intern in der Datenbanktabelle wp_postmeta gespeichert. Die Hauptfunktion des injizierten Codes ist es, als Ereignis-Handler für mehrere Ereignisse des Popup Builder-Plugins zu fungieren, einschließlich sgpb-ShouldClose, sgpbWillClose, sgpb-ShouldClose, gpb-DidClose, sgpb-WillOpen, sgpbDidOpen und sgpb-ShouldOpen.

Wenn nun ein Pop-up geöffnet oder geschlossen wird oder eine bestimmte Aktion durchgeführt wird, wird der bösartige Code zusammen mit ihm ausgeführt.

Sucuri erwähnte jedoch nicht die genauen Aktionen des Codes, aber eines der Hauptziele der Injektionen könnte sein, Webseitenbesucher auf eine infizierte Webseite oder bösartige Ziele umleiten, einschließlich Malware-Verteilungsseiten, Phishing-Seiten usw.

In einigen Fällen wurde die “hxxp://ttincoming.traveltraffic[.]cc/?traffic URL als umleitender URL-Parameter für ein Kontaktformular-7-Pop-up injiziert.

Diese Injektion ruft den bösartigen Code-Schnipsel von extern ab und injiziert ihn in den Header einer Webseite, was seine Ausführung durch den Browser ermöglicht.

Milderung und Entfernung

Wie bereits erwähnt, stammt der Angriff von incoming.traveltraffic[.]cc und host.cloudsonicwave[.]com, daher besteht der erste Schritt darin, diese Domains zu blockieren.

Als nächstes, wenn Sie das Popup Builder-Plugin auf Ihrer Webseite verwenden, aktualisieren Sie es auf die neueste Version, die 4.2.7 ist. Dies wird CVE-2023-6000 und frühere Sicherheitsprobleme beheben.

Laut WordPress-Statistiken hat es 80.000 aktive Seiten, die Versionen 4.1 und älter des Popup Builders sind, sodass die Anzahl der infizierten Seiten weiter steigen könnte.

Wenn Ihre Seite bereits infiziert ist, müssen Sie die schädlichen Einträge aus den benutzerdefinierten Abschnitten des Popup Builders löschen. Darüber hinaus scannen Sie Ihre Seite sowohl auf Client- als auch auf Serverseite nach versteckten Hintertüren und anderen möglichen Sicherheitsproblemen.

Die anhaltenden und stärkeren Malware-Angriffe sind eine beängstigende Erinnerung für alle WordPress-Nutzer, keine veralteten Versionen von Plugins oder Werkzeugen auf der Seite zu verwenden. Darüber hinaus sollten Sie die Seite auch weiterhin scannen und alle neuesten Sicherheitsupdates installieren, sobald sie verfügbar sind.

Was denken Sie über die Angelegenheit? Teilen Sie Ihre Meinungen im Kommentarbereich unten.

Ello-dashboardprofile

Ello: Das Private Soziale Netzwerk Erforschen

Bitdefender installiert nicht: 3 einfache Lösungen, die Sie verwenden können

Mehr über Bitdefender Fixes

Google stellt Inbox ein und gibt ihm sechs Monate zu leben

seitenverhaeltnisse-16x9

Verstehen von Video-Seitenverhältnissen

Dateimanager mit Tags zur Organisation Ihrer Dateien: Top 5

Wake-on-LAN funktioniert nicht

Wake On LAN funktioniert nicht unter Windows [Gelöst]

easycap-mac-mspacman-console

Verwendung von EasyCAP zum Erfassen von VHS und Konsolen auf dem Mac

Google testet neue Chrome-Funktion zur Upgrade-Berechtigung für Windows 11