Hakeri ielaužas vietnēs, kas darbojas ar WordPress, izmantojot pārkāpumus vecās Popup Builder spraudņa versijās, piesārņojot vairāk nekā 3300 vietņu ar kaitīgu kodu.
Pārkāpums, kas tiek izmantots uzbrukumos, tiek identificēts kā CVE-2023-6000 - krustveida skriptu (XSS) pārkāpums, kas ietekmē Popup Builder 4.2.3 versijas un vecākas, un kurš tika atklāts pirmo reizi novembrī 2023. gadā.
Kampanija Balada Injector, kura tika atklāta šā gada sākumā, izmantoja šo pārkāpumu, lai piesārņotu vairāk nekā 6700 vietņu, kas liecina, ka daudzi vietņu administratori nav spējuši ātri instalēt labojumus. Tagad jaunā kampanija ir vērsta uz to pašu pārkāpumu WordPress spraudnī. PublicWWW datiem, kodi, kas saistīti ar šo jauno kampaniju, var atrast 3329 WordPress vietnēs pēdējās trīs nedēļās.
Uzbrukumi inficē Custom JavaScript vai Custom CSS sadaļas WordPress admin panelī, un kaitīgais kods tiek saglabāts datu bāzes tabulā 'wp_postmeta'.
Ieviestā koda galvenā funkcija ir izturēties kā notikumu apstrādātāji Popup Builder spraudnim, piemēram, "sgpb-ShouldOpen", "sgpb-ShouldClose", "sgpb-WillOpen", "sgpbDidOpen", "sgpbWillClose" un "sgpb-DidClose". Kaitīgais kods tiek izpildīts noteiktos spraudņa darbības brīžos, piemēram, atverot vai aizverot uznirstošo logu.
Koda specifiskās darbības var atšķirties, bet ieviešanas galvenais mērķis ir novirzīt inficēto vietņu apmeklētājus uz kaitīgām adresēm, piemēram, phisinga lapām un vietnēm ar kaitīgu programmatūru.
Īpaši, dažās infekcijās analītiķi novēroja, kā kods ievies URL novirzīšanai (hxxp://ttincoming.traveltraffic[.]cc/?traffic) kā redirect-url parametru "contact-form-7" uznirstošajam logam.
Praksē ļaunprātīgie darbībnieki var sasniegt vairākas mērķa ar šo metodi, daži no tiem var būt potenciāli nopietnāki nekā vienkārša novirzīšana. Ja jūs izmantojat Popup Builder spraudni savā vietnē, atjauniniet to uz jaunāko versiju, tagad 4.2.7, kas novērš CVE-2023-6000 un citas drošības problēmas.
Komentāri (0)
Šobrīd nav neviena komentāra