黑客利用 WordPress 插件漏洞感染 了3300 个网站

黑客正在利用过时版本的Popup Builder插件中的漏洞入侵WordPress网站，感染了超过3300个网站，并注入了恶意代码。

在攻击中利用的漏洞被跟踪为CVE-2023-6000，这是一个跨站脚本（XSS）漏洞，影响Popup Builder 4.2.3及更早版本，最初在2023年11月披露。在年初发现的Balada Injector活动利用了这个特定漏洞，感染了超过6,700个网站，表明许多网站管理员没有及时打补丁。

Sucuri现在报告称，在过去三周内发现了一个新的活动，针对WordPress插件的同一漏洞，攻击数量明显增加。根据PublicWWW的结果，与这一最新活动相关的代码注入可以在3,329个WordPress网站中找到，Sucuri自己的扫描器检测到1,170个感染。

注入细节

攻击会感染WordPress管理界面中的自定义JavaScript或自定义CSS部分，而恶意代码存储在’wp_postmeta’数据库表中。注入代码的主要功能是作为各种Popup Builder插件事件的事件处理程序，例如’sgpb-ShouldOpen’、’sgpb-ShouldClose’、’sgpb-WillOpen’、’sgpbDidOpen’、’sgpbWillClose’和’sgpb-DidClose’。通过这样做，恶意代码在插件的特定操作（如弹出窗口打开或关闭时）执行。

Sucuri称，代码的确切操作可能有所不同，但注入的主要目的似乎是将感染站点的访问者重定向到恶意目的地，如钓鱼页面和恶意软件下载站点。具体来说，在某些感染中，分析人员观察到代码将重定向URL（hxxp://ttincoming.traveltraffic[.]cc/?traffic）作为“contact-form-7”弹出窗口的“redirect-url”参数注入。

注入的一个变体 上述注入的一个变体（Sucuri） 以上注入从外部源检索恶意代码片段，并将其注入到网页头部以供浏览器执行。实际上，攻击者通过这种方法可以实现一系列恶意目标，其中许多可能比重定向更严重。

防御措施

攻击源自域名“ttincoming.traveltraffic[.]cc”和“host.cloudsonicwave[.]com”，因此建议阻止这两个域名。如果您在网站上使用Popup Builder插件，请升级到最新版本，目前为4.2.7，该版本修复了CVE-2023-6000和其他安全问题。WordPress统计数据显示，至少有80,000个活跃站点当前使用Popup Builder 4.1及更早版本，因此攻击面仍然很大。

如果感染了，请删除Popup Builder的自定义部分中的恶意条目，并扫描隐藏的后门以防止再次感染。

来源：https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/