CVE-2023-6000 XSS 脆弱性

ハッカーは、Popup Builder プラグインの古いバージョンで見つかった脆弱性を悪用して、WordPress Web サイトを侵害しています。その結果、3,300 以上の Web サイトが悪質なコードに感染しました。 CVE-2023-6000 として知られるこの脆弱性は、Popup Builder バージョン 4.2.3 以前に影響を与えるクロスサイト スクリプティング (XSS) 脆弱性です。初めて公開されたのは 2023 年 11 月でした。

2024 年の初めに、この特定の脆弱性を利用して 6,700 以上の Web サイトに感染する Balada Injector キャンペーンが発見されました。これは、多くのサイト管理者がリスクを軽減するためにパッチをすぐに適用していなかったという事実を浮き彫りにしています。最近、情報セキュリティ研究者は、WordPress プラグインに存在する同じ脆弱性を標的とした、活動の大幅な増加を示す新しいキャンペーンを特定しました。

証拠によると、この最新のキャンペーンに関連するコード インジェクションが 3,000 以上の WordPress サイトで検出されました。

CVE-2023-6000 XSS 脆弱性を悪用した攻撃チェーン

この攻撃は、WordPress 管理インターフェイスのカスタム JavaScript またはカスタム CSS セクションに感染し、間違ったコードが「wp_postmeta」データベース テーブル内に保存されます。挿入されたコードの主な機能は、「sgpb-ShouldOpen」、「sgpb-ShouldClose」、「sgpb-WillOpen」、「sgpbDidOpen」、「sgpbWillClose」、「 sgpb-DidClose。これを行うと、ポップアップが開いたり閉じたりするときなど、特定のプラグインのアクションによって間違ったコードがトリガーされます。

コードの正確な動作は異なる場合があります。それでも、インジェクションの主な目的は、感染したサイトの訪問者をフィッシング ページやマルウェアを投下するサイトなどの安全でない宛先にリダイレクトすることであるようです。

具体的には、一部の感染では、研究者らはリダイレクト URL「http://ttincoming.traveltraffic.cc/?traffic」を「contact-form-7」ポップアップの「redirect-url」パラメータとして挿入するコードを観察しました。次に、インジェクションは外部ソースから不正なコード スニペットを取得し、それをブラウザの Web ページ ヘッドに挿入して実行します。

実際には、攻撃者はこの方法を通じてさまざまな有害な目的を達成することが可能であり、その多くはリダイレクトよりも深刻である可能性があります。

CVE-2023-6000 脆弱性に対する対策を講じる

これらの攻撃を効果的に軽減するには、攻撃の発信元である 2 つの特定のドメインからのアクセスをブロックすることをお勧めします。さらに、Web サイトで Popup Builder プラグインを利用している場合は、最新バージョン (現在のバージョン 4.2.7) に更新することが重要です。この更新プログラムは、CVE-2023-6000 だけでなく、存在する可能性のある他のセキュリティ脆弱性にも対処します。

WordPress の統計によると、約 80,000 のアクティブなサイトが依然として Popup Builder バージョン 4.1 以前を使用しています。これは、依然として脆弱な攻撃対象領域がかなりあることを示しています。感染が発生した場合、削除プロセスには、ポップアップ ビルダーのカスタム セクションに存在する安全でないエントリの削除が含まれます。さらに、徹底的なスキャンを実施して、再感染につながる可能性のある隠れたバックドアを特定して削除することが不可欠です。