黑客利用 WordPress 插件漏洞感染 了3300 个网站
黑客正在利用过时版本的Popup Builder插件中的漏洞入侵WordPress网站,感染了超过3300个网站,并注入了恶意代码。
在攻击中利用的漏洞被跟踪为CVE-2023-6000,这是一个跨站脚本(XSS)漏洞,影响Popup Builder 4.2.3及更早版本,最初在2023年11月披露。在年初发现的Balada Injector活动利用了这个特定漏洞,感染了超过6,700个网站,表明许多网站管理员没有及时打补丁。
Sucuri现在报告称,在过去三周内发现了一个新的活动,针对WordPress插件的同一漏洞,攻击数量明显增加。根据PublicWWW的结果,与这一最新活动相关的代码注入可以在3,329个WordPress网站中找到,Sucuri自己的扫描器检测到1,170个感染。
注入细节
攻击会感染WordPress管理界面中的自定义JavaScript或自定义CSS部分,而恶意代码存储在’wp_postmeta’数据库表中。注入代码的主要功能是作为各种Popup Builder插件事件的事件处理程序,例如’sgpb-ShouldOpen’、’sgpb-ShouldClose’、’sgpb-WillOpen’、’sgpbDidOpen’、’sgpbWillClose’和’sgpb-DidClose’。通过这样做,恶意代码在插件的特定操作(如弹出窗口打开或关闭时)执行。
Sucuri称,代码的确切操作可能有所不同,但注入的主要目的似乎是将感染站点的访问者重定向到恶意目的地,如钓鱼页面和恶意软件下载站点。具体来说,在某些感染中,分析人员观察到代码将重定向URL(hxxp://ttincoming.traveltraffic[.]cc/?traffic)作为“contact-form-7”弹出窗口的“redirect-url”参数注入。
注入的一个变体 上述注入的一个变体(Sucuri) 以上注入从外部源检索恶意代码片段,并将其注入到网页头部以供浏览器执行。实际上,攻击者通过这种方法可以实现一系列恶意目标,其中许多可能比重定向更严重。
防御措施
攻击源自域名“ttincoming.traveltraffic[.]cc”和“host.cloudsonicwave[.]com”,因此建议阻止这两个域名。如果您在网站上使用Popup Builder插件,请升级到最新版本,目前为4.2.7,该版本修复了CVE-2023-6000和其他安全问题。WordPress统计数据显示,至少有80,000个活跃站点当前使用Popup Builder 4.1及更早版本,因此攻击面仍然很大。
如果感染了,请删除Popup Builder的自定义部分中的恶意条目,并扫描隐藏的后门以防止再次感染。
来源:https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/