悪用されたPopup Builder

Popup Builderは、WordPress用のプラグインです。
このプラグインを使うことで、WordPressサイト所有者がWebサイト上にプロモーションや有益なコンテンツ用のポップアップを作成できます。
このプラグインは、サイトの構成において魅力あるもののため人気があり、実際の多くのウェブサイトで利用されています。
その数は、実に200,000サイトを超えています。

このPopup Builderで、昨年クロスサイトスクリプティングを可能としてしまう脆弱性の修正が提供されました。
修正されたバージョンは4.2.3以降です。
そして、この脆弱性の悪用方法を概念実証するコードも公開されました。
悪用は非常に簡単で、ウェブサイトの訪問者が簡単にPopup Builderで実現されたポップアップを変更してしまったり、JavaScriptを挿入してしまったりすることが可能になってしまいます。
公開された情報を知ってしまえば、難しいことはありません。
悪意を持って活動する脅威アクターは、この脆弱性を悪用してサイトにバックドアを仕掛けたのでした。
この攻撃キャンペーンはBalada Injectorキャンペーンと呼ばれています。

概念実証コードの公開のインパクトは非常に大きいものでした。
公開から2日以内に、6200件以上のウェブサイトでこの脆弱性が悪用されたことが確認されました。

脆弱性情報の開示、修正バージョンの提供、概念実証コードの公開、これらは多くの場合適切な順番とタイミングで行われます。
しかし、それは提供者側の責任の範囲のみにとどまります。
利用者側としては、新しいものをタイムリーに取り込み、既知の対策が可能な問題が自分の責任範囲において問題のある状態とならないように維持する必要があります。
この攻撃キャンペーンの情報は、タイムリーにサイト更新を実施することの重要性を再確認する事例となってしまいました。

参考記事（外部リンク）：Popup Builder < 4.2.3 – Unauthenticated Stored XSS
wpscan.com/vulnerability/cdb3a8bd-4ee0-4ce0-9029-0490273bcfc8/