黑客利用 WordPress 插件漏洞感染 了3300 個網站

黑客正在利用過(guò)時版本的Popup Builder插件中的漏洞入侵WordPress網站，感染了超過(guò)3300個網站，并注入了惡意代碼。

在攻擊中利用的漏洞被(bèi)跟蹤爲CVE-2023-6000，這(zhè)是一個跨站腳本（XSS）漏洞，影響Popup Builder 4.2.3及更早版本，最初在2023年11月披露。在年初發(fā)現的Balada Injector活動利用了這(zhè)個特定漏洞，感染了超過(guò)6,700個網站，表明許多網站管理員沒(méi)有及時打補丁。

Sucuri現在報告稱，在過(guò)去三周内發(fā)現了一個新的活動，針對(duì)WordPress插件的同一漏洞，攻擊數量明顯增加。根據PublicWWW的結果，與這(zhè)一最新活動相關的代碼注入可以在3,329個WordPress網站中找到，Sucuri自己的掃描器檢測到1,170個感染。

注入細節

攻擊會感染WordPress管理界面(miàn)中的自定義JavaScript或自定義CSS部分，而惡意代碼存儲在’wp_postmeta’數據庫表中。注入代碼的主要功能(néng)是作爲各種(zhǒng)Popup Builder插件事(shì)件的事(shì)件處理程序，例如’sgpb-ShouldOpen’、’sgpb-ShouldClose’、’sgpb-WillOpen’、’sgpbDidOpen’、’sgpbWillClose’和’sgpb-DidClose’。通過(guò)這(zhè)樣(yàng)做，惡意代碼在插件的特定操作（如彈出窗口打開(kāi)或關閉時）執行。

Sucuri稱，代碼的确切操作可能(néng)有所不同，但注入的主要目的似乎是將(jiāng)感染站點的訪問者重定向(xiàng)到惡意目的地，如釣魚頁面(miàn)和惡意軟件下載站點。具體來說，在某些感染中，分析人員觀察到代碼將(jiāng)重定向(xiàng)URL（hxxp://ttincoming.traveltraffic[.]cc/?traffic）作爲“contact-form-7”彈出窗口的“redirect-url”參數注入。

注入的一個變體 上述注入的一個變體（Sucuri） 以上注入從外部源檢索惡意代碼片段，并將(jiāng)其注入到網頁頭部以供浏覽器執行。實際上，攻擊者通過(guò)這(zhè)種(zhǒng)方法可以實現一系列惡意目标，其中許多可能(néng)比重定向(xiàng)更嚴重。

防禦措施

攻擊源自域名“ttincoming.traveltraffic[.]cc”和“host.cloudsonicwave[.]com”，因此建議阻止這(zhè)兩(liǎng)個域名。如果您在網站上使用Popup Builder插件，請升級到最新版本，目前爲4.2.7，該版本修複了CVE-2023-6000和其他安全問題。WordPress統計數據顯示，至少有80,000個活躍站點當前使用Popup Builder 4.1及更早版本，因此攻擊面(miàn)仍然很大。

如果感染了，請删除Popup Builder的自定義部分中的惡意條目，并掃描隐藏的後(hòu)門以防止再次感染。

來源：https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/