Vulnerabilidad en el plugin de WordPress explotada: 3,300 sitios comprometidos hasta ahora

Vulnerabilidad en el plugin de WordPress explotada: 3,300 sitios comprometidos hasta ahora
Los hackers han explotado una vez más una vulnerabilidad en las versiones desactualizadas del plugin Popup Builder de los sitios de WordPress. Según PublicWWW, este código malicioso ha infectado 3300 sitios web en esta nueva campaña.

La falla utilizada para atacar los sitios web es CVE-2023-6000, una vulnerabilidad de scripting entre sitios (XSS) que afecta a las versiones 4.2.3 y anteriores de Popup Builder. La información fue divulgada por primera vez en noviembre de 2023.

Esta vulnerabilidad también se utilizó en la campaña Balada Injector e infectó 6700 sitios, lo que indica que los administradores de los sitios no han tomado las medidas necesarias para prevenir que esto ocurra.

Sucuri fue la primera en informar sobre la nueva campaña y las inyecciones de código relacionadas con ella se encuentran en 3329 sitios de WordPress.

Cuando Sucuri utilizó su escáner de malware remoto, encontraron malware en más de 1,170 sitios. La entrada del blog también mencionó:

Estos ataques están orquestados desde dominios de menos de un mes, con registros que datan del 12 de febrero de 2024:

ttincoming. traveltraffic[.]cc
host. cloudsonicwave[.]com

Detalles de la inyección

Los ataques aprovecharon una vulnerabilidad conocida en el plugin Popup Builder para infectar la sección de CSS personalizado o JavaScript personalizado de la interfaz de administración de WordPress. Sin embargo, el código malicioso se almacena internamente en la tabla de base de datos wp_postmeta.

La característica principal del código inyectado es funcionar como manejadores de eventos para varios eventos del plugin Popup Builder, incluyendo sgpb-ShouldClose, sgpbWillClose, sgpb-ShouldClose, gpb-DidClose, sgpb-WillOpen, sgpbDidOpen y sgpb-ShouldOpen.

Ahora, cuando se abre o se cierra un pop-up o si se realiza una acción específica, el código malicioso se ejecutará junto con él.

Sin embargo, Sucuri no mencionó las acciones exactas del código, pero uno de los principales objetivos de las inyecciones podría ser redirigir a los visitantes del sitio a un sitio infectado o a destinos maliciosos, incluyendo sitios que distribuyen malware, páginas de phishing, etc.

En algunos casos, se vio la URL “ hxxp://ttincoming.traveltraffic[.]cc/?traffic” inyectada como un parámetro de URL de redirección para un pop-up de formulario de contacto-7.

Esta inyección recupera el fragmento de código malicioso de un externo e inyecta en el encabezado de una página web, lo que permite su ejecución por el navegador.

Mitigación y eliminación

Como se mencionó anteriormente, el ataque se originó desde incoming.traveltraffic[.]cc y host.cloudsonicwave[.]com, así que el primer paso es bloquear estos dominios.

A continuación, si está utilizando el plugin Popup Builder en su sitio web, actualícelo a la última versión, que es 4.2.7. Esto solucionará CVE-2023-6000 y problemas de seguridad anteriores.

Según estadísticas de WordPress, hay 80,000 sitios activos, que son versiones 4.1 y anteriores de Popup Builder, por lo que el número de sitios infectados podría aumentar.

Si su sitio ya está infectado, necesita eliminar las entradas maliciosas de las secciones personalizadas de Popup Builder. Además, escanee su sitio en niveles tanto de clientes como de servidores para detectar puertas traseras ocultas y otros posibles problemas de seguridad.

Los ataques de malware persistentes y más fuertes son un recordatorio aterrador para todos los usuarios de WordPress de no usar una versión desactualizada de ningún plugin o herramienta en el sitio. Además, también debe seguir escaneando el sitio e instalar todas las últimas actualizaciones de seguridad a medida que estén disponibles.

¿Qué opinas sobre el tema? Comparte tus opiniones en la sección de comentarios a continuación.