Lỗ hổng XSS trên plug-in Popup Builder WordPress khiến hơn 3.900 trang web bị hacker tấn công, có trang web Việt Nam.
Vn-Z.vn Ngày 11 tháng 03 năm 2024, theo Security Affs, Trong plugin Popup Builder 4.2.3 và các phiên bản trước đang có một lỗ hổng XSS được đánh số CVE-2023-6000 (CVSS) với điểm số 8.8. Đây là plug-in tiếp thị quảng cáo dạng Popup phổ biến dành cho Wordpress, mặc dù nhà phát triển đã phát hành phiên bản mới vào tháng 11 năm 2023 để khắc phục lỗ hổng nhưng vẫn có nhiều trang web WordPress sử dụng phiên bản plugin Popup Builder cũ.
Securityaffairs cho biết, hacker khai thác lỗ hổng XSS có liên quan và tiến hành xâm chiếm các trang web mục tiêu, lưu trữ mã độc trong bảng dữ liệu wp_postmeta, cho phép nạn nhân tự động chuyển hướng đến các trang web độc hại do tin tặc xây dựng khi truy cập các trang web liên quan.
Các cuộc tấn công này bắt nguồn từ hai tên miền được đăng ký vào ngày 12 tháng 2 năm 2024:
ttincoming.traveltraffic[.]cc
Host.cloudsonicwave[.]com
Hacker khai thác lỗi trong plugin Popup Builder WordPress có thể tiêm mã độc vào phần JS hoặc CSS tùy chỉnh của giao diện quản trị WordPress.
Các mã độc đóng vai trò xử lý các sự kiện Trình tạo cửa sổ bật lên Popup khác nhau như sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose. Các sự kiện xảy ra ở các giai đoạn khác nhau trong quá trình hiển thị cửa sổ bật lên của trang web hợp pháp.”
“Trong một số biến thể, URL “hxxp://ttincoming.traveltraffic[.]cc/?traffic” đang được đưa vào làm tham số url chuyển hướng cho cửa sổ bật lên “contact-form-7”.
Được biết tin tặc đã khai thác các lỗ hổng liên quan lây nhiễm hơn 3.900 trang web. Theo thống kê chính thức từ PublicWWW, đã có ít nhất 80.000 trang đang hoạt động đang sử dụng Popup Builder 4.1 và các phiên bản cũ hơn.
Hiện tại, phiên bản mới nhất của Popup Builder là 4.2.7, các quản trị viên web Wordpress sử dụng plug-in Popup Builder trong trang web của mình nên kiểm tra xem hệ thống của mình có bị hacker khai thác hay không, họ cần cập nhật ngay phiên bản Popup Builder mới nhất.
Security affairs đưa ra hướng dẫn tạm thời đối với các trang web WordPress đã bị nhiễm rằng họ cần phải xóa nội dung độc hại khỏi phần “JS hoặc CSS tùy chỉnh” của Trình tạo cửa sổ bật lên trong trang quản trị viên WordPress. Sau đó, cần phải quét trang web của mình ở cấp độ client và server để tìm các backdoor và xóa nó.
Vn-Z.vn team tổng hợp tham khảo Security Affars
Securityaffairs cho biết, hacker khai thác lỗ hổng XSS có liên quan và tiến hành xâm chiếm các trang web mục tiêu, lưu trữ mã độc trong bảng dữ liệu wp_postmeta, cho phép nạn nhân tự động chuyển hướng đến các trang web độc hại do tin tặc xây dựng khi truy cập các trang web liên quan.
Các cuộc tấn công này bắt nguồn từ hai tên miền được đăng ký vào ngày 12 tháng 2 năm 2024:
ttincoming.traveltraffic[.]cc
Host.cloudsonicwave[.]com
Hacker khai thác lỗi trong plugin Popup Builder WordPress có thể tiêm mã độc vào phần JS hoặc CSS tùy chỉnh của giao diện quản trị WordPress.
Các mã độc đóng vai trò xử lý các sự kiện Trình tạo cửa sổ bật lên Popup khác nhau như sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose. Các sự kiện xảy ra ở các giai đoạn khác nhau trong quá trình hiển thị cửa sổ bật lên của trang web hợp pháp.”
“Trong một số biến thể, URL “hxxp://ttincoming.traveltraffic[.]cc/?traffic” đang được đưa vào làm tham số url chuyển hướng cho cửa sổ bật lên “contact-form-7”.
Hiện tại, phiên bản mới nhất của Popup Builder là 4.2.7, các quản trị viên web Wordpress sử dụng plug-in Popup Builder trong trang web của mình nên kiểm tra xem hệ thống của mình có bị hacker khai thác hay không, họ cần cập nhật ngay phiên bản Popup Builder mới nhất.
Security affairs đưa ra hướng dẫn tạm thời đối với các trang web WordPress đã bị nhiễm rằng họ cần phải xóa nội dung độc hại khỏi phần “JS hoặc CSS tùy chỉnh” của Trình tạo cửa sổ bật lên trong trang quản trị viên WordPress. Sau đó, cần phải quét trang web của mình ở cấp độ client và server để tìm các backdoor và xóa nó.
Vn-Z.vn team tổng hợp tham khảo Security Affars
