Vulnerabilità del plugin WordPress sfruttata: 3.300 siti compromessi finora
Gli hacker hanno nuovamente sfruttato una vulnerabilità nelle versioni obsolete del plugin Popup Builder dei siti WordPress. Secondo PublicWWW, questo codice malevolo ha infettato 3.300 siti web a causa di questa nuova campagna.
Il difetto utilizzato per attaccare i siti web è CVE-2023-6000, una vulnerabilità di scripting intersito (XSS) che colpisce le versioni 4.2.3 e precedenti di Popup Builder. L’informazione è stata divulgata per la prima volta a novembre 2023.
Questa vulnerabilità è stata utilizzata anche nella campagna Balada Injector e ha infettato 6.700 siti, il che indica che gli amministratori dei siti non hanno preso le misure necessarie per evitarlo.
Sucuri è stata la prima a segnalare la nuova campagna e le iniezioni di codice correlate sono state trovate in 3.329 siti WordPress.
Quando Sucuri ha utilizzato il loro scanner remoto per malware, hanno trovato il malware su più di 1.170 siti. Il post del blog ha anche menzionato:
Questi attacchi sono orchestrati da domini con meno di un mese di vita, con registrazioni risalenti al 12 febbraio 2024:
- ttincoming. traveltraffic[.]cc
- host. cloudsonicwave[.]com
Dettagli dell’iniezione
Gli attacchi hanno sfruttato una vulnerabilità nota nel plugin Popup Builder per infettare la sezione CSS personalizzato o JavaScript personalizzato dell’interfaccia di amministrazione di WordPress. Tuttavia, il codice maligno è memorizzato internamente nella tabella del database wp_postmeta. 
La caratteristica principale del codice iniettato è quella di funzionare come gestori di eventi per vari eventi del plugin Popup Builder, tra cui sgpb-ShouldClose, sgpbWillClose, sgpb-ShouldClose, gpb-DidClose, sgpb-WillOpen, sgpbDidOpen e sgpb-ShouldOpen.
Ora, quando si apre o si chiude un pop-up o se viene eseguita un’azione specifica, il codice malevolo verrà eseguito insieme ad esso.
Tuttavia, Sucuri non ha menzionato le esatte azioni del codice, ma uno dei principali obiettivi delle iniezioni potrebbe essere quello di reindirizzare i visitatori del sito verso un sito infetto o destinazioni malevole, inclusi siti di scaricamento di malware, pagine di phishing, ecc.
In alcuni casi, l’URL “ hxxp://ttincoming.traveltraffic[.]cc/?traffic è stato visto iniettato come parametro URL di reindirizzamento per un pop-up di contact form-7.
Questa iniezione recupera il frammento di codice malevolo da una fonte esterna e lo inietta nell’intestazione di una pagina web, consentendone l’esecuzione da parte del browser.
Mitigazione e rimozione
Come menzionato in precedenza, l’attacco proveniva da incoming.traveltraffic[.]cc e host.cloudsonicwave[.]com, quindi il primo passo è bloccare questi domini.
Successivamente, se stai utilizzando il plugin Popup Builder sul tuo sito, aggiornalo all’ultima versione, che è 4.2.7. Questo risolverà CVE-2023-6000 e problemi di sicurezza precedenti.
Secondo le statistiche di WordPress, ci sono 80.000 siti attivi che utilizzano versioni 4.1 e precedenti di Popup Builder, quindi il numero di siti infettati potrebbe aumentare.
Se il tuo sito è già infetto, devi eliminare le voci malevole dalle sezioni personalizzate di Popup Builder. Inoltre, esegui la scansione del tuo sito sia a livello client che server per eventuali backdoor nascoste e altri possibili problemi di sicurezza.
Gli attacchi di malware persistenti e più forti sono un inquietante promemoria per tutti gli utenti di WordPress di non utilizzare versioni obsolete di alcun plugin o strumento sul sito. Inoltre, dovresti continuare a scansionare il sito e installare tutti gli ultimi aggiornamenti di sicurezza appena disponibili.
Quali sono i tuoi pensieri a riguardo? Condividi le tue opinioni nella sezione commenti qui sotto.
