Σε κίνδυνο βρίσκονται χιλιάδες WordPress sites λόγω μιας ευπάθειας σε παλιές εκδόσεις του Popup Builder plugin. Οι hackers χρησιμοποιούν ήδη την ευπάθεια, μολύνοντας πάνω από 3.300 ιστότοπους με κακόβουλο κώδικα.
Η ευπάθεια παρακολουθείται ως CVE-2023-6000 και είναι ένα cross-site scripting (XSS) bug. Επηρεάζει τις εκδόσεις 4.2.3 και παλαιότερες του Popup Builder plugin και αποκαλύφθηκε πρώτη φορά το Νοέμβριο του περασμένου έτους.
Μια καμπάνια Balada Injector, που αποκαλύφθηκε στις αρχές του έτους, εκμεταλλεύτηκε τη συγκεκριμένη ευπάθεια για να μολύνει πάνω από 6.700 ιστότοπους. Δυστυχώς, πολλοί διαχειριστές δεν έσπευσαν να προστατέψουν τα sites τους.
Δείτε επίσης: WordPress sites χρησιμοποιούν browsers επισκεπτών για παραβίαση άλλων sites
Η Sucuri αναφέρει τώρα ότι εντόπισε μια νέα καμπάνια τις τελευταίες τρεις εβδομάδες, στοχεύοντας την ίδια ευπάθεια στο WordPress plugin.
Σύμφωνα με τα αποτελέσματα του PublicWWW, η εισαγωγή κακόβουλου κώδικα έχει εντοπιστεί σε 3.329 ιστότοπους WordPress, με τους σαρωτές της Sucuri να εντοπίζουν 1.170 μολύνσεις.
Πώς γίνεται η μόλυνση;
Οι επιθέσεις μολύνουν τις ενότητες Custom JavaScript ή Custom CSS του WordPress admin interface, ενώ ο κακόβουλος κώδικας αποθηκεύεται στο ‘wp_postmeta‘ database table.
Η κύρια λειτουργία του κακόβουλου κώδικα είναι να λειτουργεί σαν event handlers για διάφορα Popup Builder plugin events (π.χ. ‘sgpb-ShouldOpen’, ‘sgpb-ShouldClose’, ‘sgpb-WillOpen’, ‘sgpbDidOpen’, ‘sgpbWillClose’ και ‘ sgpb-DidClose’).
Με αυτόν τον τρόπο, ο κακόβουλος κώδικας εκτελείται σε συγκεκριμένες ενέργειες του WordPress plugin, όπως όταν ανοίγει ή κλείνει ένα αναδυόμενο παράθυρο.
Αν και μπορεί να υπάρχουν κάποιες διαφοροποιήσεις, ο πρωταρχικός σκοπός της εισαγωγής κώδικα είναι η ανακατεύθυνση των επισκεπτών των μολυσμένων WordPress sites σε κακόβουλους προορισμούς (π.χ. phishing σελίδες για κλοπή στοιχείων και sites που εγκαθιστούν κακόβουλο λογισμικό).
Δείτε επίσης: LiteSpeed Cache WordPress: Σε κίνδυνο εκατομμύρια sites λόγω ευπάθειας
Οι επιθέσεις προέρχονται από τα domains “ttincoming.traveltraffic[.]cc” και “host.cloudsonicwave[.]com“. Επομένως, ο αποκλεισμός αυτών των δύο κρίνεται απαραίτητος.
Εξίσου σημαντική είναι και η ενημέρωση του Popup Builder plugin στο WordPress site σας στην τελευταία έκδοση (4.2.7).
Τα στατιστικά του WordPress δείχνουν ότι τουλάχιστον 80.000 ενεργοί ιστότοποι χρησιμοποιούν αυτήν τη στιγμή το Popup Builder 4.1 και παλαιότερες εκδόσεις. Αυτό σημαίνει ότι όλα αυτά τα sites είναι ευάλωτα σε επιθέσεις.
Σε περίπτωση μόλυνσης, θα πρέπει να ληφθούν μέτρα για την αφαίρεσή της, η οποία περιλαμβάνει τη διαγραφή κακόβουλων καταχωρήσεων από τις custom ενότητες του Popup Builder plugin και τη σάρωση για κρυφά backdoors για την αποφυγή εκ νέου μόλυνσης.
Προστασία WordPress
Οι χρήστες WordPress πρέπει να προστατεύσουν τις ιστοσελίδες τους και μπορούν να το κάνουν ακολουθώντας διάφορες στρατηγικές. Πρώτον, είναι σημαντικό να διατηρούν τα plugins τους ενημερωμένα. Οι παλιές εκδόσεις των plugin μπορεί να περιέχουν ευπάθειες που μπορούν να εκμεταλλευτούν οι hackers, όπως συμβαίνει με το Popup Builder.
Επίσης, οι χρήστες πρέπει να χρησιμοποιούν ισχυρούς και μοναδικούς κωδικούς πρόσβασης για τους λογαριασμούς τους. Αυτό μπορεί να βοηθήσει στην αποφυγή των επιθέσεων brute force, όπου οι hackers προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης.
Δείτε επίσης: Ultimate Member: Κρίσιμη ευπάθεια στο WordPress plugin
Η χρήση ενός αξιόπιστου λογισμικού ασφαλείας είναι επίσης σημαντική. Αυτό μπορεί να βοηθήσει στην ανίχνευση και την απομάκρυνση του κακόβουλου λογισμικού πριν προκαλέσει ζημιά.
Τέλος, οι χρήστες πρέπει να δημιουργούν τακτικά αντίγραφα ασφαλείας των ιστοσελίδων τους. Αυτό μπορεί να είναι ζωτικής σημασίας για την αποκατάσταση της ιστοσελίδας σε περίπτωση που παραβιαστεί.
Πηγή: www.bleepingcomputer.com
