워드프레스 플러그인 취약점 악용: 지금까지 3,300개 사이트가 손상됨

해커들이 다시 한번 구버전의 Popup Builder 플러그인에서 취약점을 악용했습니다. PublicWWW에 따르면, 이번 새로운 캠페인으로 3300개의 웹사이트가 감염되었습니다.

웹사이트를 공격하는 데 사용된 결함은 CVE-2023-6000으로, Popup Builder 버전 4.2.3 및 이전 버전의 교차 사이트 스크립팅(XSS) 취약점입니다. 이 정보는 2023년 11월에 처음 공개되었습니다.

이 취약점은 Balada Injector 캠페인에서도 사용되었으며 6700개의 사이트가 감염되었습니다. 이는 사이트 관리자가 이를 방지하기 위한 필요한 조치를 취하지 않았음을 나타냅니다.

Sucuri는 새로운 캠페인을 최초로 보고했으며 관련된 코드 주입은 3329개의 워드프레스 웹사이트에서 발견되었습니다.

Sucuri가 원격 악성코드 스캐너를 사용했을 때, 1,170개 이상의 사이트에서 악성코드를 발견했습니다. 블로그 게시물에서는 다음과 같이 언급했습니다:

이러한 공격은 한 달도 안 된 도메인에서 조정되며, 등록 날짜는 2024년 2월 12일로 거슬러 올라갑니다:

• ttincoming. traveltraffic[.]cc
• host. cloudsonicwave[.]com

주입 세부사항

공격은 Popup Builder 플러그인의 알려진 취약점을 이용하여 워드프레스 관리 인터페이스의 사용자 정의 CSS 또는 사용자 정의 JavaScript 섹션을 감염시켰습니다. 그러나 악성 코드는 내부적으로 wp_postmeta 데이터베이스 테이블에 저장됩니다.

주입된 코드의 주요 기능은 여러 Popup Builder 플러그인 이벤트에 대한 이벤트 핸들러로 작동하는 것이며, 여기에는 sgpb-ShouldClose, sgpbWillClose, sgpb-ShouldClose, gpb-DidClose, sgpb-WillOpen, sgpbDidOpen, sgpb-ShouldOpen 등이 포함됩니다.

현재, 팝업이 열리거나 닫히거나 특정 작업이 수행되면 악성 코드가 함께 실행됩니다.

그러나 Sucuri는 코드의 정확한 작업을 언급하지 않았지만, 주입의 주요 목적 중 하나는 사이트 방문자를 감염된 웹사이트나 악성 목적지, 즉 악성코드 배포 사이트, 피싱 페이지 등으로 리디렉션하는 것일 수 있습니다.

일부 경우, “ hxxp://ttincoming.traveltraffic[.]cc/?traffic URL이 연락처 양식-7 팝업의 리디렉션 URL 매개변수로 주입된 것을 볼 수 있었습니다.

이 주입은 외부에서 악성 코드 스니펫을 가져와 웹 페이지의 헤더에 주입하여 브라우저에서 실행되도록 합니다.

완화 및 제거

앞서 언급한 바와 같이 공격은 incoming.traveltraffic[.]cc 및 host.cloudsonicwave[.]com 에서 발생했으므로, 첫 번째 단계는 이들 도메인을 차단하는 것입니다.

다음으로, 웹사이트에서 Popup Builder 플러그인을 사용하고 있다면, 최신 버전인 4.2.7로 업데이트하세요. 이는 CVE-2023-6000 및 이전 보안 문제를 수정합니다.

워드프레스 통계에 따르면, 활성 사이트의 수는 80,000개이며, 이는 Popup Builder의 4.1 및 이전 버전입니다. 따라서 감염되는 사이트 수가 더 증가할 수 있습니다.

사이트가 이미 감염된 경우, Popup Builder의 사용자 정의 섹션에서 악성 항목을 삭제해야 합니다. 또한 클라이언트 및 서버 수준에서 숨겨진 백도어 및 기타 가능한 보안 문제를 검색해야 합니다.

지속적이고 강력한 악성코드 공격은 모든 워드프레스 사용자에게 구버전 플러그인이나 도구를 사이트에서 사용하지 말라는 무서운 경고입니다. 또한 사이트를 계속 스캔하고 최신 보안 업데이트가 발표될 때마다 설치해야 합니다.

이 문제에 대한 귀하의 생각은 무엇인가요? 아래 댓글 섹션에 의견을 남겨주세요.