WordPressプラグインの脆弱性が悪用され、3300件のサイトが侵害される

ハッカーは再び、古いバージョンのPopup Builderプラグインを持つWordPressサイトの脆弱性を悪用しました。PublicWWWによると、この悪意のあるコードはこの新しいキャンペーンによって3300のウェブサイトに感染しています。

攻撃に使用された欠陥はCVE-2023-6000で、Popup Builderのバージョン4.2.3およびそれ以前のものに影響を与えるクロスサイトスクリプティング（XSS）の脆弱性です。この情報は2023年11月に最初に公開されました。

この脆弱性はBalada Injectorキャンペーンでも使用され、6700サイトに感染したことから、サイトの管理者がこの問題を防ぐための必要な措置を講じていないことが示されています。

Sucuriが新しいキャンペーンを最初に報告し、それに関連するコードインジェクションは3329のWordPressウェブサイトに見つかりました。

Sucuriがリモートマルウェアスキャナーを使用したところ、1170以上のサイトでマルウェアが確認されました。ブログ記事にも以下のように記載されています。

これらの攻撃は、2024年2月12日以降に登録された、登録から1か月未満のドメインから指揮されています：

• ttincoming. traveltraffic[.]cc
• host. cloudsonicwave[.]com

インジェクションの詳細

攻撃は、Popup Builderプラグインの既知の脆弱性を利用して、WordPress管理インターフェースのカスタムCSSまたはカスタムJavaScriptセクションを感染させました。しかし、悪意のあるコードは内部でwp_postmetaデータベーステーブルに保存されます。
注入されたコードの主な機能は、いくつかのPopup Builderプラグインイベントのイベントハンドラーとして機能することです。これにはsgpb-ShouldClose、sgpbWillClose、sgpb-ShouldClose、gpb-DidClose、sgpb-WillOpen、sgpbDidOpenおよびsgpb-ShouldOpenが含まれます。

ポップアップが開いたり閉じたり、特定のアクションが実行されると、悪意のあるコードがそれに伴って実行されます。

しかし、Sucuriはコードの正確なアクションについては言及しませんでしたが、注入の主な目的の1つは、サイトの訪問者を感染したウェブサイトやマルウェアをダウンロードするサイト、フィッシングページなどの悪意のある目的地にリダイレクトすることかもしれません。

ある場合には、「hxxp://ttincoming.traveltraffic[.]cc/?traffic」URLが、コンタクトフォーム7のポップアップ用のリダイレクトURLパラメータとして注入されているのが確認されました。

このインジェクションは、外部から悪意のあるコードスニペットを取得し、ウェブページのヘッダーに注入して、ブラウザによる実行を可能にします。

緩和策と削除

前述の通り、攻撃はincoming.traveltraffic[.]ccおよびhost.cloudsonicwave[.]comから発生したため、最初のステップはこれらのドメインをブロックすることです。

次に、あなたのウェブサイトでPopup Builderプラグインを使用している場合、最新のバージョンである4.2.7に更新してください。これにより、CVE-2023-6000および以前のセキュリティ問題が修正されます。

WordPressの統計によれば、Popup Builderのバージョン4.1およびそれ以前のアクティブサイトは80,000サイトあるため、感染するサイトの数はさらに増える可能性があります。

もしあなたのサイトがすでに感染している場合、Popup Builderのカスタムセクションから悪意のあるエントリを削除する必要があります。さらに、クライアントおよびサーバーレベルで隠れたバックドアやその他の可能性のあるセキュリティ問題をスキャンしてください。

持続的かつ強力なマルウェア攻撃は、すべてのWordPressユーザーに、サイト上のプラグインやツールの古いバージョンを使用しないようにという恐ろしい思い出を呼び起こします。さらに、サイトを定期的にスキャンし、最新のセキュリティ更新を入手可能になり次第インストールすることも重要です。

この件についてどう思いますか？コメントセクションであなたの意見を共有してください。