يخترق المتسللون مواقع ووردبرس WordPress من خلال استغلال ثغرة أمنية في الإصدارات القديمة من المكون الإضافي Popup Builder، مما يؤدي إلى إصابة أكثر من 3300 موقع ويب برموز برمجية ضارة.

تم تتبع الخلل الذي تم استغلاله في الهجمات باسم CVE-2023-6000، وهي ثغرة أمنية في البرمجة النصية عبر المواقع (XSS) تؤثر على إصدارات Popup Builder 4.2.3 والإصدارات الأقدم، والتي تم الكشف عنها لأول مرة في نوفمبر 2023.

وقد استغلت حملة Balada Injector التي تم الكشف عنها في بداية العام الثغرة الأمنية الخاصة لإصابة  أكثر من 6700 موقع ويب ، مما يشير إلى أن العديد من مسؤولي المواقع لم يقوموا بإصلاحها بالسرعة الكافية.

أبلغت Sucuri الآن عن اكتشاف حملة جديدة مع ارتفاع ملحوظ في الأسابيع الثلاثة الماضية، تستهدف نفس الثغرة الأمنية في مكون WordPress الإضافي.

وفقًا لنتائج PublicWWW، تم العثور على عمليات حقن التعليمات البرمجية المرتبطة بهذه الحملة الأخيرة في  3,329 موقع WordPress ، حيث اكتشفت الماسحات الخاصة بشركة سوكوري 1,170 إصابة.

تفاصيل الحقن
تصيب الهجمات أقسام JavaScript المخصصة أو CSS المخصصة في واجهة إدارة WordPress، بينما يتم تخزين التعليمات البرمجية الضارة داخل جدول قاعدة البيانات "wp_postmeta".

تتمثل الوظيفة الأساسية للتعليمات البرمجية المحقونة في العمل كمعالجات للأحداث لمختلف أحداث البرنامج المساعد Popup Builder، مثل 'sgpb-ShouldOpen'، و'sgpb-ShouldClose'، و'sgpb-WillOpen'، و'sgpbDidOpen'، و'sgpbWillClose'، و' sgpb-DidClose.'

ومن خلال القيام بذلك، يتم تنفيذ تعليمات برمجية ضارة في إجراءات محددة للمكون الإضافي، مثل عند فتح نافذة منبثقة أو إغلاقها.

يقول سوكوري إن الإجراءات الدقيقة للشفرة قد تختلف، ولكن يبدو أن الغرض الأساسي من عمليات الحقن هو إعادة توجيه زوار المواقع المصابة إلى وجهات ضارة مثل صفحات التصيد الاحتيالي ومواقع إسقاط البرامج الضارة.

على وجه التحديد، في بعض حالات الإصابة، لاحظ المحللون الكود الذي يقوم بإدخال عنوان URL لإعادة التوجيه (hxxp://ttincoming.traveltraffic[.]cc/?traffic) كمعلمة "redirect-url" لنافذة "contact-form-7" المنبثقة.

خيار واحد للحقن
أحد أنواع الحقن (سوكوري)
يقوم الحقن أعلاه باسترداد مقتطف التعليمات البرمجية الضارة من مصدر خارجي وإدخاله في رأس صفحة الويب ليتم تنفيذه بواسطة المتصفح.

ومن الناحية العملية، من الممكن للمهاجمين تحقيق مجموعة من الأهداف الضارة من خلال هذه الطريقة، ومن المحتمل أن يكون العديد منها أكثر خطورة من عمليات إعادة التوجيه. 

الدفاع
تنشأ الهجمات من النطاقين "ttincoming.traveltraffic[.]cc" و"host.cloudsonicwave[.]com"، لذا يوصى بحظر هذين النطاقين.

إذا كنت تستخدم المكون الإضافي Popup Builder على موقعك، فقم بالترقية إلى الإصدار الأحدث، حاليًا 4.2.7، والذي يعالج CVE-2023-6000 ومشكلات أمنية أخرى.

تظهر إحصائيات WordPress أن ما لا يقل عن 80000 موقع نشط  يستخدم حاليًا Popup Builder 4.1 والإصدارات الأقدم، لذلك يظل سطح الهجوم كبيرًا.

في حالة الإصابة، تتضمن الإزالة حذف الإدخالات الضارة من الأقسام المخصصة في Popup Builder والمسح بحثًا عن الأبواب الخلفية المخفية لمنع الإصابة مرة أخرى.

بواسطة: بيل تولاس | Bleeping Computer