La vulnérabilité du plugin WordPress exploitée : 3 300 sites compromis jusqu'à présent
Les hackers ont de nouveau exploité une vulnérabilité dans les versions obsolètes du plugin Popup Builder des sites WordPress. Selon PublicWWW, ce code malveillant a infecté 3 300 sites web à travers cette nouvelle campagne.
La faille utilisée pour attaquer les sites web est le CVE-2023-6000, une vulnérabilité de type cross-site scripting (XSS) affectant les versions 4.2.3 et plus anciennes de Popup Builder. Cette information a été divulguée pour la première fois en novembre 2023.
Cette vulnérabilité a également été utilisée dans la campagne Balada Injector et a infecté 6 700 sites, ce qui indique que les administrateurs de sites n’ont pas pris les mesures nécessaires pour empêcher cela de se produire.
Sucuri a été le premier à signaler la nouvelle campagne et les injections de code qui y sont liées se trouvent sur 3 329 sites WordPress.
Lorsque Sucuri a utilisé leur scanner de malware à distance, ils ont trouvé le malware sur plus de 1 170 sites. Le billet de blog mentionnait également :
Ces attaques sont orchestrées à partir de domaines de moins d’un mois, avec des enregistrements datant du 12 février 2024 :
- ttincoming. traveltraffic[.]cc
- host. cloudsonicwave[.]com
Détails de l’injection
Les attaques ont profité d’une vulnérabilité connue dans le plugin Popup Builder pour infecter la section Custom CSS ou Custom JavaScript de l’interface d’administration WordPress. Cependant, le code malveillant est stocké en interne dans la table de la base de données wp_postmeta. 
La caractéristique principale du code injecté est de fonctionner comme des gestionnaires d’événements pour plusieurs événements du plugin Popup Builder, y compris sgpb-ShouldClose, sgpbWillClose, sgpb-ShouldClose, gpb-DidClose, sgpb-WillOpen, sgpbDidOpen et sgpb-ShouldOpen.
Maintenant, lorsqu’un pop-up s’ouvre ou se ferme ou si une action spécifique est effectuée, le code malveillant sera exécuté en même temps.
Cependant, Sucuri n’a pas mentionné les actions exactes du code, mais l’un des principaux objectifs des injections pourrait être de rediriger les visiteurs du site vers un site infecté ou des destinations malveillantes, y compris des sites de téléchargement de malware, des pages de phishing, etc.
Dans certains cas, l’URL “hxxp://ttincoming.traveltraffic[.]cc/?traffic” a été vue injectée comme un paramètre d’URL de redirection pour un pop-up de contact form-7.
Cette injection récupère le code malveillant à partir d’un site externe et l’injecte dans l’en-tête d’une page web, ce qui permet son exécution par le navigateur.
Atténuation et suppression
Comme mentionné précédemment, l’attaque provient de incoming.traveltraffic[.]cc et host.cloudsonicwave[.]com, donc la première étape consiste à bloquer ces domaines.
Ensuite, si vous utilisez le plugin Popup Builder sur votre site web, mettez-le à jour vers la dernière version, qui est 4.2.7. Cela corrigera le CVE-2023-6000 et les problèmes de sécurité précédents.
Selon les statistiques de WordPress, il y a 80 000 sites actifs, qui utilisent des versions 4.1 et antérieures de Popup Builder, donc le nombre de sites infectés pourrait augmenter.
Si votre site est déjà infecté, vous devez supprimer les entrées malveillantes des sections personnalisées de Popup Builder. De plus, scannez votre site à la fois au niveau client et serveur pour détecter d’éventuelles portes dérobées cachées et d’autres problèmes de sécurité.
Les attaques de malware persistantes et plus puissantes sont un rappel inquiétant pour tous les utilisateurs de WordPress de ne pas utiliser une version obsolète de tout plugin ou outil sur le site. De plus, vous devriez également continuer à scanner le site et installer toutes les dernières mises à jour de sécurité dès qu’elles sont disponibles.
Qu’en pensez-vous ? Partagez vos opinions dans la section des commentaires ci-dessous.
