แฮกเกอร์กำลังโจมตีเว็บไซต์ที่ใช้ WordPress โดยใช้ประโยชน์จากช่องโหว่ในปลั๊กอิน Popup Builder เวอร์ชันเก่า ซึ่งแพร่กระจายไปยังเว็บไซต์มากกว่า 3,300 แห่งด้วยโค้ดที่เป็นอันตราย หมายเลย CVE ที่ได้รับการติดตามคือ CVE-2023-6000 ซึ่งเป็นช่องโหว่ Cross-site Scripting (XSS) ที่ส่งผลกระทบต่อ Popup Builder เวอร์ชันต่ำกว่า 4.2.3 และได้รับการเปิดเผยครั้งแรกในเดือนพฤศจิกายน 2566 แคมเปญ Balada Injector ที่ถูกเปิดเผยเมื่อต้นปีได้ใช้ประโยชน์จากช่องโหว่นี้เพื่อแพร่ระบาดไปยังเว็บไซต์กว่า 6,700 แห่ง ซึ่งบ่งชี้ว่าผู้ดูแลระบบไซต์จำนวนมากยังแพทช์ไม่เร็วพอ

Sucuri ได้รายงานว่าพบแคมเปญใหม่ที่เพิ่มขึ้นในช่วง 3 สัปดาห์ที่ผ่านมา โดยกำหนดเป้าหมายไปที่ช่องโหว่เดียวกันบนปลั๊กอิน Popup Builder โดยผลลัพธ์ของ PublicWWW การแทรกโค้ดที่เชื่อมโยงกับแคมเปญล่าสุดนี้พบได้ในเว็บไซต์ที่ใช้ WordPress 3,329 แห่ง โดย Web scanner ของ Sucuri ตรวจพบการติดไวรัส 1,170 ครั้ง และสถิติของ WordPress เองแสดงให้เห็นว่ามีเว็บไซต์ที่ใช้งานปลั๊กอิน Popup Builder อยู่อย่างน้อย 80,000 แห่งที่ใช้เวอร์ชัน 4.1 และเก่ากว่า

ผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่รู้จักในปลั๊กอิน Popup Builder WordPress เพื่อแทรกโค้ดที่เป็นอันตรายซึ่งสามารถพบได้ในส่วน Custom JavaScript หรือ CSS ของอินเทอร์เฟซผู้ดูแลระบบ WordPress ในขณะที่โค้ดที่เป็นอันตรายถูกจัดเก็บไว้ในตารางฐานข้อมูล 'wp_postmeta'

ฟังก์ชันหลักของโค้ดที่แทรกเข้าไปคือทำหน้าที่เป็นตัวจัดการเหตุการณ์สำหรับเหตุการณ์ปลั๊กอิน Popup Builder ต่างๆ เช่น 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' และ ' sgpb-DidClose' เมื่อทำเช่นนั้นโค้ดที่เป็นอันตรายจะใช้งานตามฟังก์ชันเฉพาะของปลั๊กอิน เช่น เมื่อเปิดหรือปิดป๊อปอัป

Sucuri กล่าวว่าการกระทำที่แน่นอนของโค้ดอาจแตกต่างกันไป แต่จุดประสงค์หลักของการแทรกโค้ดจะเป็นการเปลี่ยนเส้นทาง(redirect) ผู้เยี่ยมชมเว็บไซต์ไปยังปลายทางที่เป็นอันตราย เช่น หน้าฟิชชิ่งและเว็บไซต์วางมัลแวร์ ในการติดไวรัสบางราย นักวิเคราะห์สังเกตเห็นโค้ดที่แทรก URL การเปลี่ยนเส้นทาง (hxxp://ttincoming.traveltraffic[.]cc/?traffic) เป็นพารามิเตอร์ 'redirect-url' สำหรับป๊อปอัป "contact-form-7"

ระบบที่ได้รับผลกระทบ

• ปลั๊กอิน Popup Builder เวอร์ชันต่ำกว่า 4.2.3

แนวทางการลดผลกระทบ

• อัปเดตปลั๊กอิน Popup Builder เป็นเวอร์ชัน 4.2.3 หรือใหม่กว่า ปัจจุบันเวอร์ชัน 4.2.7
• แนะนำให้บล็อกโดเมน ttincoming.traveltraffic[.]cc และ host.cloudsonicwave[.]com
• การทำ Output Encoding, Input Validation และอื่น ๆ

อ้างอิง

• https://blog.sucuri.net/2024/03/new-malware-campaign-found-exploiting-stored-xss-in-popup-builder-4-2-3.html
• https://wpscan.com/blog/stored-xss-fixed-in-popup-builder-4-2-3/

‍