黑客利用插件漏洞入侵了 3,300 个网站
攻击者利用未修补的 Popup Builder 漏洞 (CVE-2023-6000) 将恶意代码注入易受攻击的网站的“自定义 JS 或 CSS”部分。
该代码将用户重定向到网络钓鱼网站或注入更多恶意软件,该活动已感染 3300 多个网站。
恶意代码以弹出事件(打开和关闭)为目标来操纵弹出行为。有时,攻击者会将联系表单(可能是“contact-form-7”)重定向到恶意 URL。安全扫描仪可以识别这些注入。
根据Sucuri的说法,将 Popup Builder 补丁到 4.2.7 版本可以减轻攻击,而 Web 应用程序防火墙则提供临时保护。
删除恶意代码后,彻底扫描网站以识别并删除后门。
消除任何不熟悉的管理员帐户,最重要的是,保持所有网站软件更新以防止类似的攻击。
恶意代码检测指标
为了注入隐藏在 WordPress 管理界面的自定义 JS 或 CSS 部分并存储在数据库中的恶意代码,攻击者利用了 Popup Builder WordPress 插件中的漏洞。
“这些注入充当各种 Popup Builder 事件的处理程序,例如 sgpb-ShouldOpen、 sgpb-ShouldClose、 sgpb-WillOpen、 sgpbDidOpen、 sgpbWillClose、 sgpb-DidClose。这些事件在合法网站弹出显示过程的不同阶段触发。”
在受感染网站的数据库中可以找到两种恶意代码变体:
注入的代码针对在弹出窗口的整个生命周期中触发的事件,例如打开、关闭和可见性更改。这些事件(sgpb-ShouldOpen、sgpb-WillOpen 等)允许攻击者操纵弹出窗口的行为。
在某些情况下,攻击者会将联系表单(可能使用“contact-form-7”构建)重定向到恶意 URL(“hxxp://ttincoming.traveltraffic[.]cc/?traffic”)。SiteCheck 等安全扫描器将这些注入识别为“恶意软件?pbuilder_injection.1.x”。
缓解步骤和恶意软件删除
新的恶意软件活动针对过时的 Popup Builder 插件(版本低于 4.2.3),利用已知的 XSS 漏洞 (CVE-2023-6000)。
该恶意软件将恶意代码注入插件的“自定义 JS 或 CSS”部分。此代码可以将访问者重定向到网络钓鱼站点或注入更多恶意软件。
将插件补丁到 4.2.7 或更高版本至关重要。Web 应用程序防火墙还可以提供临时保护。从“自定义 JS 或 CSS”部分删除恶意代码后,需要进行彻底的网站扫描,以识别并删除恶意软件创建的任何后门。
此外,网站管理员应该消除任何不熟悉的帐户。最后,使用最新的安全补丁更新所有网站软件对于防止类似攻击至关重要。
发表评论
您还未登录,请先登录。
登录