黑客正在利用過(guò)時(shí)版本的Popup Builder插件中的漏洞入侵WordPress網(wǎng)站，感染了超過(guò)3300個(gè)網(wǎng)站，并注入了惡意代碼。

在攻擊中利用的漏洞被跟蹤為CVE-2023-6000，這是一個(gè)跨站腳本（XSS）漏洞，影響Popup Builder 4.2.3及更早版本，最初在2023年11月披露。在年初發(fā)現(xiàn)的Balada Injector活動(dòng)利用了這個(gè)特定漏洞，感染了超過(guò)6,700個(gè)網(wǎng)站，表明許多網(wǎng)站管理員沒(méi)有及時(shí)打補(bǔ)丁。

Sucuri現(xiàn)在報(bào)告稱(chēng)，在過(guò)去三周內(nèi)發(fā)現(xiàn)了一個(gè)新的活動(dòng)，針對(duì)WordPress插件的同一漏洞，攻擊數(shù)量明顯增加。根據(jù)PublicWWW的結(jié)果，與這一最新活動(dòng)相關(guān)的代碼注入可以在3,329個(gè)WordPress網(wǎng)站中找到，Sucuri自己的掃描器檢測(cè)到1,170個(gè)感染。

注入細(xì)節(jié)

攻擊會(huì)感染W(wǎng)ordPress管理界面中的自定義JavaScript或自定義CSS部分，而惡意代碼存儲(chǔ)在’wp_postmeta’數(shù)據(jù)庫(kù)表中。注入代碼的主要功能是作為各種Popup Builder插件事件的事件處理程序，例如’sgpb-ShouldOpen’、’sgpb-ShouldClose’、’sgpb-WillOpen’、’sgpbDidOpen’、’sgpbWillClose’和’sgpb-DidClose’。通過(guò)這樣做，惡意代碼在插件的特定操作（如彈出窗口打開(kāi)或關(guān)閉時(shí)）執(zhí)行。

Sucuri稱(chēng)，代碼的確切操作可能有所不同，但注入的主要目的似乎是將感染站點(diǎn)的訪(fǎng)問(wèn)者重定向到惡意目的地，如釣魚(yú)頁(yè)面和惡意軟件下載站點(diǎn)。具體來(lái)說(shuō)，在某些感染中，分析人員觀(guān)察到代碼將重定向URL（hxxp://ttincoming.traveltraffic[.]cc/?traffic）作為“contact-form-7”彈出窗口的“redirect-url”參數(shù)注入。

注入的一個(gè)變體 上述注入的一個(gè)變體（Sucuri） 以上注入從外部源檢索惡意代碼片段，并將其注入到網(wǎng)頁(yè)頭部以供瀏覽器執(zhí)行。實(shí)際上，攻擊者通過(guò)這種方法可以實(shí)現(xiàn)一系列惡意目標(biāo)，其中許多可能比重定向更嚴(yán)重。

防御措施

攻擊源自域名“ttincoming.traveltraffic[.]cc”和“host.cloudsonicwave[.]com”，因此建議阻止這兩個(gè)域名。如果您在網(wǎng)站上使用Popup Builder插件，請(qǐng)升級(jí)到最新版本，目前為4.2.7，該版本修復(fù)了CVE-2023-6000和其他安全問(wèn)題。WordPress統(tǒng)計(jì)數(shù)據(jù)顯示，至少有80,000個(gè)活躍站點(diǎn)當(dāng)前使用Popup Builder 4.1及更早版本，因此攻擊面仍然很大。

如果感染了，請(qǐng)刪除Popup Builder的自定義部分中的惡意條目，并掃描隱藏的后門(mén)以防止再次感染。

來(lái)源：https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/