Уязвимость плагина WordPress использована: уже 3,300 сайтов скомпрометированы
Хакеры снова воспользовались уязвимостью в устаревших версиях плагина Popup Builder для сайтов на WordPress. По данным PublicWWW, этот вредоносный код уже заразил 3300 веб-сайтов в рамках этой новой кампании.
Уязвимость, использованная для атаки на сайты, является CVE-2023-6000, уязвимость в межсайтовом скриптинге (XSS), затрагивающая версии Popup Builder 4.2.3 и старше. Информация об этом была опубликована впервые в ноябре 2023 года.
Эта уязвимость также использовалась в кампании Balada Injector и заразила 6700 сайтов, что указывает на то, что администраторы сайтов не предприняли необходимые меры, чтобы предотвратить это.
Sucuri первой сообщила о новой кампании, и коды инъекций, связанные с ней, были обнаружены на 3329 сайтах WordPress.
Когда Sucuri использовали свой удаленный сканер вредоносных программ, они нашли вредоносное ПО более чем на 1170 сайтах. В блоге также упоминалось:
Эти атаки организованы с доменов, возраст которых менее месяца, с регистрацией с 12 февраля 2024 года:
- ttincoming. traveltraffic[.]cc
- host. cloudsonicwave[.]com
Детали инъекции
Атаки использовали известную уязвимость в плагине Popup Builder, чтобы заразить раздел Custom CSS или Custom JavaScript интерфейса администратора WordPress. Однако вредоносный код хранится внутри таблицы базы данных wp_postmeta.
Основная особенность внедренного кода – это работать в качестве обработчиков событий для нескольких событий плагина Popup Builder, включая sgpb-ShouldClose, sgpbWillClose, sgpb-ShouldClose, gpb-DidClose, sgpb-WillOpen, sgpbDidOpen и sgpb-ShouldOpen.
Теперь, когда всплывающее окно открывается или закрывается, или если выполняется определенное действие, вредоносный код будет выполняться вместе с ним.
Однако Sucuri не упоминала точные действия кода, но одной из основных целей инъекций может быть перенаправление посетителей сайта на заражённый веб-сайт или злонамеренные адреса, включая сайты с вредоносным ПО, фишинговые страницы и т. д.
В некоторых случаях URL “hxxp://ttincoming.traveltraffic[.]cc/?traffic” был замечен как параметр URL для перенаправления в всплывающем окне контактной формы-7.
Эта инъекция извлекает фрагмент вредоносного кода с внешнего источника и внедряет его в заголовок веб-страницы, что позволяет браузеру его выполнить.
Снижение риска и удаление
Как уже упоминалось, атака исходила с incoming.traveltraffic[.]cc и host.cloudsonicwave[.]com, поэтому первый шаг — заблокировать эти домены.
Затем, если вы используете плагин Popup Builder на своем сайте, обновите его до последней версии, которая составляет 4.2.7. Это исправит CVE-2023-6000 и предыдущие проблемы безопасности.
Согласно статистике WordPress, существует 80,000 активных сайтов, которые используют версии 4.1 и старше плагина Popup Builder, поэтому число заражённых сайтов может увеличиться.
Если ваш сайт уже заражён, вам необходимо удалить вредоносные записи из пользовательских разделов Popup Builder. Более того, просканируйте свой сайт как на стороне клиента, так и на сервере на наличие скрытых задних дверей и других возможных проблем безопасности.
Устойчивые и более сильные атаки вредоносных программ напоминают всем пользователям WordPress о том, чтобы не использовать устаревшую версию любого плагина или инструмента на сайте. Более того, вы также должны продолжать сканировать сайт и устанавливать все последние обновления безопасности по мере их появления.
Каковы ваши мысли по этому поводу? Поделитесь своими мнениями в разделе комментариев ниже.
