A vulnerabilidade do plugin WordPress foi explorada: 3.300 sites comprometidos até agora
Hackers mais uma vez exploraram uma vulnerabilidade em versões desatualizadas do plugin Popup Builder de sites WordPress. De acordo com a PublicWWW, esse código malicioso infectou 3.300 websites nesta nova campanha.
A falha usada para atacar os websites é a CVE-2023-6000, uma vulnerabilidade de execução remota de código (XSS) que afeta versões do Popup Builder 4.2.3 e anteriores. A informação foi divulgada pela primeira vez em novembro de 2023.
Essa vulnerabilidade também foi usada na campanha Balada Injector e infectou 6.700 sites, o que indica que os administradores de sites não tomaram as ações necessárias para evitar que isso acontecesse.
A Sucuri foi a primeira a relatar a nova campanha e as injeções de código relacionadas a ela foram encontradas em 3.329 sites WordPress.
Quando a Sucuri usou seu scanner de malware remoto, encontrou o malware em mais de 1.170 sites. O post do blog também mencionou:
Esses ataques são orquestrados a partir de domínios com menos de um mês de existência, com registros datando de 12 de fevereiro de 2024:
- ttincoming. traveltraffic[.]cc
- host. cloudsonicwave[.]com
Detalhes da Injeção
Os ataques exploraram uma vulnerabilidade conhecida no plugin Popup Builder para infectar a seção Custom CSS ou Custom JavaScript da interface de administração do WordPress. No entanto, o código malicioso é armazenado internamente na tabela de banco de dados wp_postmeta. 
O principal recurso do código injetado é funcionar como manipuladores de eventos para vários eventos do plugin Popup Builder, incluindo sgpb-ShouldClose, sgpbWillClose, sgpb-ShouldClose, gpb-DidClose, sgpb-WillOpen, sgpbDidOpen e sgpb-ShouldOpen.
Agora, quando um pop-up abre ou fecha ou se uma ação específica for realizada, o código malicioso será executado junto com ele.
No entanto, a Sucuri não mencionou as ações exatas do código, mas um dos principais objetivos das injeções pode ser redirecionar visitantes do site para um site infectado ou destinos maliciosos, incluindo sites que distribuem malware, páginas de phishing, etc.
Em alguns casos, a URL “ hxxp://ttincoming.traveltraffic[.]cc/?traffic foi vista injetada como um parâmetro de URL de redirecionamento para um pop-up do formulário de contato-7.
Essa injeção recupera o trecho de código malicioso de um externo e o injeta no cabeçalho de uma página da web, o que permite sua execução pelo navegador.
Mitigação e remoção
Como mencionado anteriormente, o ataque se originou de incoming.traveltraffic[.]cc e host.cloudsonicwave[.]com, então o primeiro passo é bloquear esses domínios.
Em seguida, se você estiver usando o plugin Popup Builder em seu site, atualize-o para a versão mais recente, que é 4.2.7. Isso corrigirá CVE-2023-6000 e problemas de segurança anteriores.
De acordo com estatísticas do WordPress, há 80.000 sites ativos, que estão em versões 4.1 e anteriores do Popup Builder, então o número de sites infectados pode aumentar.
Se o seu site já estiver infectado, você precisa excluir as entradas maliciosas das seções personalizadas do Popup Builder. Além disso, escaneie seu site em níveis de cliente e servidor em busca de portas traseiras ocultas e outros possíveis problemas de segurança.
Os ataques de malware persistentes e mais fortes são um lembrete assustador para todos os usuários do WordPress não usarem uma versão desatualizada de qualquer plugin ou ferramenta no site. Além disso, você também deve continuar escaneando o site e instalar todas as atualizações de segurança mais recentes assim que estiverem disponíveis.
Quais são suas opiniões sobre o assunto? Compartilhe suas opiniões na seção de comentários abaixo.
