Hacker hanno violato siti WordPress sfruttando una vulnerabilità nelle versioni obsolete del plugin Popup Builder, infettando oltre 3.300 siti con codice dannoso. La vulnerabilità, identificata come CVE-2023-6000, è un cross-site scripting (XSS) che colpisce le versioni 4.2.3 e precedenti di Popup Builder, scoperta nel novembre 2023. Una campagna Balada Injector all’inizio dell’anno ha sfruttato la stessa vulnerabilità per infettare oltre 6.700 siti. Recentemente, una nuova campagna ha visto un aumento significativo nel targeting della stessa vulnerabilità sul plugin WordPress. Gli attacchi inseriscono codice dannoso nelle sezioni JavaScript o CSS personalizzate dell’interfaccia di amministrazione di WordPress, memorizzandolo nel database ‘wp_postmeta’. Il codice dannoso funziona come gestori di eventi per vari eventi del plugin Popup Builder, con lo scopo principale di reindirizzare i visitatori a destinazioni maligne come pagine di phishing e siti che distribuiscono malware. Per difendersi, si consiglia di bloccare i domini sorgente degli attacchi e di aggiornare il plugin Popup Builder alla versione più recente, la 4.2.7, che risolve la vulnerabilità CVE-2023-6000 e altri problemi di sicurezza. In caso di infezione, è necessario rimuovere le voci dannose dalle sezioni personalizzate di Popup Builder e cercare eventuali backdoor nascoste per prevenire ulteriori reinfezioni.
Menu
