Sucuriはこのほど、「New Malware Campaign Found Exploiting Stored XSS in Popup Builder < 4.2.3」において、WordPressのマーケティングポップアップ作成プラグイン「Popup Builder」の既知のセキュリティ脆弱性「CVE-2023-6000」を悪用した、サイバー攻撃の新しいキャンペーンを発見したと報じた。
この脆弱性の悪用について、本誌では「WordPress人気プラグイン「Popup Builder」、脆弱性悪用で数千サイトが侵害 | TECH+(テックプラス)」において報じている。
Popup Builderの脆弱性
Popup Builderに存在する既知の脆弱性は、蓄積型クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性。攻撃者がこの脆弱性の悪用に成功すると、任意のプラグインをインストールしたり、新しい不正な管理者を作成したりすることが可能となる。この攻撃にサイトのアカウントは不要で、あらゆる攻撃者が悪用できるという。この脆弱性は「Popup Builderバージョン4.2.3」にて修正されている。
新しいキャンペーンにおいても基本的な攻撃手法は同じで、WordPress管理インタフェースのPopup Builderセクションの「Custom JS or CSS」に悪意のあるコードを挿入する。挿入されたコードはPopup Builderの各種イベントハンドラーとして機能し、正規サイトのポップアップ表示の際に使用される。挿入されるコードがこれまでの攻撃とは異なっており、2月に登録された新しいドメイン名が使用されている。
PublicWWWによると、このキャンペーンにより3,900以上のWebサイトが侵害されたとみられている(参考:「"var e = d['create' + 'Element']('scr' + 'ipt'); e['src'] = 'https://host.cloudsonicwave.com" - 3926 Web pages - PublicWWW.com」)。また、Sucuriの調査においても1,170以上のサイトからマルウェアが検出されている。
対策
Popup Builderを使用するWordPressサイトの管理者は、プラグインを更新することで影響を回避可能。しかしながら、すでにWebサイトを侵害されている場合は、挿入されたコードをすべて取り除く必要がある。この作業はWordPress管理インタフェースのPopup Builderセクションの「Custom JS or CSS」から実施することができる。
なお、Sucuriはこのキャンペーンの攻撃を受けて侵害された場合、上記の対策ではすぐに再感染の可能性があると指摘している。このキャンペーンではコードの挿入以外にバックドアを設置することがあり、同時にこれらにも対処する必要がある。
Sucuriはバックドアの検出に「Website Malware Scanning & Detection | Sucuri」の使用を推奨している。侵害の有無がわからない場合や対処の方法がわからない場合は、速やかに専門家やセキュリティ専門企業に相談することが望まれている。