黑客利用插件漏洞入侵了 3,300 个网站

黑客利用插件漏洞入侵了 3,300 个网站

攻击者利用未修补的 Popup Builder 漏洞 (CVE-2023-6000) 将恶意代码注入易受攻击的网站的“自定义 JS 或 CSS”部分。

该代码将用户重定向到网络钓鱼网站或注入更多恶意软件，该活动已感染 3300 多个网站。

恶意代码以弹出事件（打开和关闭）为目标来操纵弹出行为。有时，攻击者会将联系表单（可能是“contact-form-7”）重定向到恶意 URL。安全扫描仪可以识别这些注入。

根据Sucuri的说法，将 Popup Builder 补丁到 4.2.7 版本可以减轻攻击，而 Web 应用程序防火墙则提供临时保护。

删除恶意代码后，彻底扫描网站以识别并删除后门。

消除任何不熟悉的管理员帐户，最重要的是，保持所有网站软件更新以防止类似的攻击。

恶意代码检测指标

为了注入隐藏在 WordPress 管理界面的自定义 JS 或 CSS 部分并存储在数据库中的恶意代码，攻击者利用了 Popup Builder WordPress 插件中的漏洞。

“这些注入充当各种 Popup Builder 事件的处理程序，例如 sgpb-ShouldOpen、  sgpb-ShouldClose、  sgpb-WillOpen、  sgpbDidOpen、  sgpbWillClose、  sgpb-DidClose。这些事件在合法网站弹出显示过程的不同阶段触发。”

在受感染网站的数据库中可以找到两种恶意代码变体：

注入的代码针对在弹出窗口的整个生命周期中触发的事件，例如打开、关闭和可见性更改。这些事件（sgpb-ShouldOpen、sgpb-WillOpen 等）允许攻击者操纵弹出窗口的行为。

在某些情况下，攻击者会将联系表单（可能使用“contact-form-7”构建）重定向到恶意 URL（“hxxp://ttincoming.traveltraffic[.]cc/?traffic”）。SiteCheck 等安全扫描器将这些注入识别为“恶意软件？pbuilder_injection.1.x”。

缓解步骤和恶意软件删除

新的恶意软件活动针对过时的 Popup Builder 插件（版本低于 4.2.3），利用已知的 XSS 漏洞 (CVE-2023-6000)。

该恶意软件将恶意代码注入插件的“自定义 JS 或 CSS”部分。此代码可以将访问者重定向到网络钓鱼站点或注入更多恶意软件。

将插件补丁到 4.2.7 或更高版本至关重要。Web 应用程序防火墙还可以提供临时保护。从“自定义 JS 或 CSS”部分删除恶意代码后，需要进行彻底的网站扫描，以识别并删除恶意软件创建的任何后门。

此外，网站管理员应该消除任何不熟悉的帐户。最后，使用最新的安全补丁更新所有网站软件对于防止类似攻击至关重要。