黑客利用 Popup Builder 插件過時版本中的漏洞入侵了 WordPress 網站后,用惡意代碼感染了 3300 多個網站。
攻擊中利用的缺陷被追蹤為 CVE-2023-6000,這是一個影響 Popup Builder 版本 4.2.3 及更早版本的跨站點腳本 ( XSS ) 漏洞,最初于 2023 年 11 月披露。
今年年初發現的 Balada Injector 活動利用該特定漏洞感染了 6700 多個網站,許多網站管理員都沒能足夠快地修補補丁。
有報告發現在上個月一個針對 WordPress 插件上的相同漏洞活動顯著增加。
根據 PublicWWW 的結果,在 3329 個 WordPress 網站中發現了與這一最新活動相關的代碼注入 ,Sucuri 自己的掃描儀檢測到了 1170 個感染。
注射細節
這些攻擊會感染 WordPress 管理界面的自定義 JavaScript 或自定義 CSS 部分,而惡意代碼則存儲在 “wp_postmeta” 數據庫表中。
注入代碼的主要功能是充當各種 Popup Builder 插件事件的事件處理程序,例如 “sgpb-ShouldOpen”、”sgpb-ShouldClose”、”sgpb-WillOpen”、”sgpbDidOpen”、”sgpbWillClose” 和 ” sgpb-DidClose”。
惡意代碼會在插件的特定操作時執行,例如當彈出窗口打開或關閉時。
Sucuri 表示,代碼的具體操作可能有所不同,但注入的主要目的是將受感染網站的訪問者重定向到惡意目的地,例如網絡釣魚頁面和惡意軟件投放網站。
具體來說,在某些感染中,分析人員觀察到代碼注入重定向 URL ( hxxp://ttincoming.traveltraffic [ . ] cc/?traffic ) 作為 “contact-form-7” 彈出窗口的 “redirect-url” 參數。
注射的一種變體
上面的注入從外部源檢索惡意代碼片段并將其注入到網頁頭部以供瀏覽器執行。
實際上,攻擊者有可能通過這種方法實現一系列惡意目標,其中許多目標可能比重定向更嚴重。
防守
這些攻擊源自域 “ttincoming.traveltraffic [ . ] cc” 和 “host.cloudsonicwave [ . ] com”,因此建議阻止這兩個域。
如果在站點上使用 Popup Builder 插件,請升級到最新版本(當前為 4.2.7),該版本解決了 CVE-2023-6000 和其他安全問題。
WordPress 統計數據顯示,目前至少有 80000 個活躍站點使用 Popup Builder 4.1 及更早版本,因此攻擊面仍然很大。
如果發生感染,刪除操作包括從彈出窗口生成器的自定義部分中刪除惡意條目,并掃描隱藏的后門以防止再次感染。
