ACTUALIDADnoticias de informaticaNoticias de tecnologiaVirus

Vulnerabilidad en plugin Popup Builder comprometen mas de 3300 sitios con WordPress

Los ciberdelincuentes han vuelto a aprovechar una vulnerabilidad en versiones desactualizadas del plugin Popup Builder para WordPress. Según PublicWWW, esta nuevo ataque de código malicioso ha infectado a 3300 sitios web.

La vulnerabilidad utilizada para atacar los sitios web es CVE-2023-6000, una vulnerabilidad de secuencias de comandos entre sitios (XSS) que afecta a las versiones 4.2.3 y anteriores de Popup Builder, reportándose por primera vez esta vulnerabilidad en Noviembre de 2023.

Sucuri fue el primero en informar sobre el nuevo ataque y las inyecciones de código relacionadas se encontraron en 3329 sitios web de WordPress. Al utilizar su escáner remoto de malware, Sucuri detectó el malware en más de 1170 sitios. La publicación del blog también mencionó:

Estos ataques se orquestan desde dominios de menos de un mes de antigüedad, con registros que datan del 12 de febrero de 2024:

Detalles de la inyección

Los ataques aprovecharon una vulnerabilidad conocida en el plugin Popup Builder para infectar la sección CSS o JavaScript personalizada de la interfaz de administración de WordPress. Sin embargo, el código malicioso se almacena internamente en la tabla de la base de datos wp_postmeta.

La característica principal del código inyectado es funcionar como manejadores de eventos del plugin Popup Builder, incluyendo sgpb-ShouldClose, sgpbWillClose, sgpb-ShouldClose, gpb-DidClose, sgpb-WillOpen, sgpbDidOpen y sgpb-ShouldOpen.

Ahora, cuando se abre o cierra una ventana emergente o se realiza una acción específica, el código malicioso se ejecutará junto con ella.

Si bien Sucuri no mencionó las acciones exactas del código, uno de los objetivos principales de las inyecciones podría ser redirigir a los visitantes del sitio a un sitio web infectado o destinos maliciosos, incluidos sitios de descarga de malware, páginas de phishing, etc utilizando un fragmento malicioso e inyectándolo en el encabezado de una página web, permitiendo así la ejecución de este código malicioso por el navegador.

Mitigación y eliminación

Como se mencionó anteriormente, el ataque se origina desde los dominios incoming.traveltraffic[.]cc y host.cloudsonicwave[.]com, por lo que el primer paso es bloquear estos dominios.

Luego, si estás utilizando el plugin Popup Builder en tu sitio web, actualízalo a la última versión, que es la 4.2.7. Esto solucionará la vulnerabilidad CVE-2023-6000 y problemas de seguridad anteriores.

Según las estadísticas de WordPress, hay 80,000 sitios activos que utilizan versiones 4.1 o anteriores de Popup Builder, por lo que la cantidad de sitios infectados podría aumentar.

Si tu sitio ya está infectado, necesitas eliminar las entradas maliciosas de las secciones personalizadas de Popup Builder. Además, analiza tu sitio a nivel de cliente y servidor para detectar puertas traseras ocultas y otros posibles problemas de seguridad.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba