해커들이 팝업 빌더 플러그인의 오래된 버전에 있는 취약점을 이용해 워드프레스 사이트를 침해하고 있으며, 이로 인해 3,300개 이상의 웹사이트가 악성 코드에 감염되었습니다. 이 취약점은 CVE-2023-6000으로 추적되며, 팝업 빌더 버전 4.2.3 및 이전 버전에 영향을 미치는 크로스 사이트 스크립팅(XSS) 취약점입니다. 이 취약점은 2023년 11월에 처음 공개되었으며, 이를 이용한 Balada Injector 캠페인은 6,700개 이상의 웹사이트를 감염시켰습니다.
공격은 워드프레스 관리 인터페이스의 사용자 정의 자바스크립트 또는 CSS 섹션을 감염시키며, 악성 코드는 'wp_postmeta' 데이터베이스 테이블에 저장됩니다. 주입된 코드의 주요 기능은 팝업 빌더 플러그인 이벤트에 대한 이벤트 핸들러로 작동하는 것입니다. 이를 통해 팝업이 열리거나 닫힐 때 플러그인의 특정 작업에서 악성 코드가 실행됩니다. Sucuri는 코드의 정확한 작업이 다양할 수 있지만, 주입의 주요 목적은 감염된 사이트의 방문자를 피싱 페이지와 악성 코드를 떨어뜨리는 사이트와 같은 악성 목적지로 리디렉션하는 것으로 보인다고 말했습니다.
공격은 "ttincoming.traveltraffic[.]cc"와 "host.cloudsonicwave[.]com" 도메인에서 시작되므로 이 두 도메인을 차단하는 것이 권장됩니다. 팝업 빌더 플러그인을 사용하는 경우, 최신 버전인 4.2.7로 업그레이드하면 CVE-2023-6000 및 기타 보안 문제를 해결할 수 있습니다. 워드프레스 통계에 따르면, 최소 80,000개의 활성 사이트가 팝업 빌더 4.1 및 이전 버전을 사용하고 있으므로 공격 표면이 상당히 큽니.
요약
- 해커들이 팝업 빌더 플러그인의 오래된 버전에 있는 취약점을 이용해 워드프레스 사이트를 침해하고 있음
- 공격은 워드프레스 관리 인터페이스를 감염시키며, 주입된 코드의 주요 기능은 팝업 빌더 플러그인 이벤트에 대한 이벤트 핸들러로 작동
- 공격은 "ttincoming.traveltraffic[.]cc"와 "host.cloudsonicwave[.]com" 도메인에서 시작되므로 이 두 도메인을 차단하는 것이 권장됨
- 팝업 빌더 플러그인을 사용하는 경우, 최신 버전인 4.2.7로 업그레이드하면 CVE-2023-6000 및 기타 보안 문제를 해결할 수 있음
- 워드프레스 통계에 따르면, 최소 80,000개의 활성 사이트가 팝업 빌더 4.1 및 이전 버전을 사용하고 있어 공격 표면이 상당히 큼
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.