Vulnerabilidad XSS CVE-2023-6000
Los piratas informáticos han estado comprometiendo los sitios web de WordPress explotando una vulnerabilidad encontrada en versiones obsoletas del complemento Popup Builder. Esto ha resultado en la infección de más de 3.300 sitios web con código pésimo. La vulnerabilidad, conocida como CVE-2023-6000, es una vulnerabilidad de secuencias de comandos entre sitios (XSS) que afecta a las versiones 4.2.3 y anteriores de Popup Builder. Se reveló por primera vez en noviembre de 2023.
A principios de 2024, se descubrió una campaña de Balada Injector, que utilizaba esta vulnerabilidad específica para infectar más de 6.700 sitios web. Esto pone de relieve el hecho de que muchos administradores de sitios no habían aplicado rápidamente parches para mitigar el riesgo. Recientemente, investigadores de seguridad de la información identificaron una nueva campaña que muestra un aumento significativo en la actividad, dirigida a la misma vulnerabilidad presente en el complemento de WordPress.
La evidencia sugiere que se han detectado inyecciones de código asociadas con esta última campaña en más de 3.000 sitios de WordPress.
La cadena de ataque que explota la vulnerabilidad XSS CVE-2023-6000
Los ataques infectan las secciones de JavaScript personalizado o CSS personalizado de la interfaz de administración de WordPress, mientras que el código incorrecto se almacena en la tabla de base de datos 'wp_postmeta'. La función principal del código inyectado es actuar como controladores de eventos para varios eventos del complemento Popup Builder, como 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' y ' sgpb-DidClose.' Al hacer eso, acciones específicas del complemento activan el código incorrecto, como cuando se abre o cierra una ventana emergente.
Las acciones exactas del código pueden variar. Aún así, el propósito principal de las inyecciones parece ser redirigir a los visitantes de sitios infectados a destinos inseguros, como páginas de phishing y sitios que arrojan malware.
Específicamente, en algunas infecciones, los investigadores observaron que el código inyectaba una URL de redireccionamiento: 'http://ttincoming.traveltraffic.cc/?traffic', como parámetro 'redirect-url' para una ventana emergente 'contact-form-7'. Luego, la inyección recupera el fragmento de código incorrecto de una fuente externa y lo inyecta en el encabezado de la página web del navegador para su ejecución.
En la práctica, es posible que los atacantes logren una variedad de objetivos dañinos a través de este método, muchos de los cuales pueden ser más graves que las redirecciones.
Tome medidas para protegerse contra la vulnerabilidad CVE-2023-6000
Para mitigar eficazmente estos ataques, es recomendable bloquear el acceso desde los dos dominios específicos desde los que se originan los ataques. Además, si está utilizando el complemento Popup Builder en su sitio web, es fundamental actualizar a la última versión, que actualmente es la versión 4.2.7. Esta actualización aborda no solo CVE-2023-6000 sino también otras vulnerabilidades de seguridad que puedan existir.
Según las estadísticas de WordPress, hay aproximadamente 80.000 sitios activos que todavía utilizan Popup Builder versiones 4.1 y anteriores. Esto indica una superficie de ataque sustancial que sigue siendo vulnerable. En caso de infección, el proceso de eliminación implica eliminar cualquier entrada no segura presente en las secciones personalizadas de Popup Builder. Además, es esencial realizar análisis exhaustivos para identificar y eliminar cualquier puerta trasera oculta que pueda provocar una reinfección.
