黑客利用插件漏洞入侵了 3,300 个网站

阅读量32336

发布时间 : 2024-03-12 11:08:46

黑客利用插件漏洞入侵了 3,300 个网站

攻击者利用未修补的 Popup Builder 漏洞 (CVE-2023-6000) 将恶意代码注入易受攻击的网站的“自定义 JS 或 CSS”部分。

该代码将用户重定向到网络钓鱼网站或注入更多恶意软件,该活动已感染 3300 多个网站。

恶意代码以弹出事件(打开和关闭)为目标来操纵弹出行为。有时,攻击者会将联系表单(可能是“contact-form-7”)重定向到恶意 URL。安全扫描仪可以识别这些注入。

根据Sucuri的说法,将 Popup Builder 补丁到 4.2.7 版本可以减轻攻击,而 Web 应用程序防火墙则提供临时保护。

删除恶意代码后,彻底扫描网站以识别并删除后门。

消除任何不熟悉的管理员帐户,最重要的是,保持所有网站软件更新以防止类似的攻击。

恶意代码检测指标

为了注入隐藏在 WordPress 管理界面的自定义 JS 或 CSS 部分并存储在数据库中的恶意代码,攻击者利用了 Popup Builder WordPress 插件中的漏洞。

“这些注入充当各种 Popup Builder 事件的处理程序,例如 sgpb-ShouldOpen、  sgpb-ShouldClose、  sgpb-WillOpen、  sgpbDidOpen、  sgpbWillClose、  sgpb-DidClose。这些事件在合法网站弹出显示过程的不同阶段触发。”

在受感染网站的数据库中可以找到两种恶意代码变体:

注入的代码针对在弹出窗口的整个生命周期中触发的事件,例如打开、关闭和可见性更改。这些事件(sgpb-ShouldOpen、sgpb-WillOpen 等)允许攻击者操纵弹出窗口的行为。

在某些情况下,攻击者会将联系表单(可能使用“contact-form-7”构建)重定向到恶意 URL(“hxxp://ttincoming.traveltraffic[.]cc/?traffic”)。SiteCheck 等安全扫描器将这些注入识别为“恶意软件?pbuilder_injection.1.x”。

缓解步骤和恶意软件删除

新的恶意软件活动针对过时的 Popup Builder 插件(版本低于 4.2.3),利用已知的 XSS 漏洞 (CVE-2023-6000)。

该恶意软件将恶意代码注入插件的“自定义 JS 或 CSS”部分。此代码可以将访问者重定向到网络钓鱼站点或注入更多恶意软件。

将插件补丁到 4.2.7 或更高版本至关重要。Web 应用程序防火墙还可以提供临时保护。从“自定义 JS 或 CSS”部分删除恶意代码后,需要进行彻底的网站扫描,以识别并删除恶意软件创建的任何后门。

此外,网站管理员应该消除任何不熟悉的帐户。最后,使用最新的安全补丁更新所有网站软件对于防止类似攻击至关重要。

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66