Una recente ondata di attacchi informatici ha messo in evidenza una grave vulnerabilità in una versione obsoleta del plugin Popup Builder per WordPress, compromettendo oltre 3.300 siti con codice maligno. La falla, identificata come CVE-2023-6000, espone a vulnerabilità di tipo Cross-Site Scripting (XSS) le versioni 4.2.3 e precedenti del plugin, rivelata per la prima volta a novembre 2023.
Ampliamento dell’attacco
Una campagna denominata Balada Injector, emersa all’inizio dell’anno, aveva già sfruttato questa vulnerabilità per infettare oltre 6.700 siti WordPress. Questo indica che molti amministratori di siti non hanno applicato tempestivamente le patch di sicurezza necessarie. Recenti rapporti di Sucuri hanno rilevato un aumento significativo degli attacchi nelle ultime tre settimane, mirati specificamente alla vulnerabilità nel plugin di WordPress.
Dettagli dell’infezione
Gli attacchi iniettano codice maligno nelle sezioni JavaScript o CSS personalizzate dell’interfaccia amministrativa di WordPress, archiviando il codice nocivo nella tabella del database ‘wp_postmeta’. Il codice iniettato agisce principalmente come gestore di eventi per vari eventi del plugin Popup Builder, eseguendo codice maligno in specifiche azioni del plugin, come l’apertura o la chiusura di un popup.
L’obiettivo principale delle iniezioni sembra essere il reindirizzamento dei visitatori dei siti infetti verso destinazioni dannose, come pagine di phishing e siti di distribuzione di malware. In alcune infezioni, è stato osservato che il codice inietta un URL di reindirizzamento nei popup, potenzialmente portando a obiettivi maligni più severi.
Misure di difesa
È consigliato bloccare i domini da cui originano gli attacchi e aggiornare il plugin Popup Builder alla versione più recente, attualmente la 4.2.7, che risolve la CVE-2023-6000 e altre problematiche di sicurezza. Con almeno 80.000 siti attivi che utilizzano ancora versioni vulnerabili del plugin, la superficie di attacco rimane significativa. In caso di infezione, è necessario eliminare le voci maligne dalle sezioni personalizzate del Popup Builder e eseguire scansioni alla ricerca di backdoor nascoste per prevenire reinfezioni.