WordPress: hacker sfruttano falla di plugin per infettare 3.300 siti

Un gruppo di hacker sta violando alcuni siti WordPress sfruttando una vulnerabilità nelle versioni obsolete del plug-in Popup Builder, infettando oltre 3.300 siti web con codice dannoso. La falla sfruttata negli attacchi viene identificata come CVE-2023-6000. Si tratta di una vulnerabilità di cross-site scripting (XSS) che colpisce la versione 4.2.3 e precedenti di Popup Builder, inizialmente divulgata nel novembre 2023. Una campagna Balada Injector scoperta all'inizio dell'anno ha sfruttato la particolare vulnerabilità per infettare oltre 6.700 siti web. Ciò mostrava come molti amministratori dei siti non avevano applicato le patch abbastanza rapidamente. L’agenzia di sicurezza Sucuri ha individuato una nuova campagna con un notevole aumento nelle ultime tre settimane mirata alla stessa vulnerabilità sul plugin WordPress. Secondo i risultati di PublicWWW, le iniezioni di codice legate a quest'ultima campagna si trovano in 3.329 siti WordPress, con gli scanner di Sucuri che rilevano 1.170 infezioni.

WordPress: come funziona l’infezione tramite il plug-in Popup Builder

Gli attacchi infettano le sezioni Custom JavaScript o Custom CSS dell'interfaccia di amministrazione di WordPress. Il codice dannoso è invece archiviato nella tabella del database “wp_postmeta”. La funzione principale del codice inserito è quella di agire come gestori di eventi per vari eventi del plugin Popup Builder. Tra questi vi sono ‘sgpb-ShouldOpen’, ‘sgpb-ShouldClose’, ‘sgpb-WillOpen’, ‘sgpbDidOpen’, ‘sgpbWillClose’ e ‘sgpb-DidClose’. In questo modo, il codice dannoso viene eseguito durante azioni specifiche del plug-in, ad esempio quando si apre o si chiude un popup. Sucuri afferma che le azioni esatte del codice possono variare. Tuttavia, lo scopo principale delle iniezioni sembra essere quello di reindirizzare i visitatori di siti infetti verso destinazioni dannose come pagine di phishing e siti che rilasciano malware. Nello specifico, in alcune infezioni, gli analisti hanno osservato il codice che immetteva un URL di reindirizzamento (hxxp://ttincoming.traveltraffic[.]cc/?traffic) come parametro “redirect-url” per un popup “contact-form-7”.

L'iniezione recupera lo snippet di codice dannoso da una fonte esterna e lo inserisce nell'intestazione della pagina web per l'esecuzione da parte del browser. In pratica, attraverso questo metodo gli aggressori possono raggiungere una serie di obiettivi dannosi, molti dei quali potenzialmente più gravi dei reindirizzamenti.  Gli attacchi provengono dai domini “ttincoming.traveltraffic[.]cc” e “host.cloudsonicwave[.]com”, quindi si consiglia di bloccarli entrambi. Se si utilizza il plug-in Popup Builder, bisogna eseguire l'aggiornamento alla versione più recente, attualmente 4.2.7, che risolve CVE-2023-6000 e altri problemi di sicurezza. Le statistiche di WordPress mostrano che almeno 80.000 siti attivi utilizzano attualmente Popup Builder 4.1 e versioni precedenti. L’area di attacco rimane quindi significativa. In caso di infezione, la rimozione comporta l'eliminazione di voci dannose dalle sezioni personalizzate del Popup Builder e la scansione di backdoor nascoste per prevenire la reinfezione.