黑客利用Popup Builder插件过时版本中的漏洞入侵了WordPress网站后，又用恶意代码感染了3300多个网站。

攻击中利用的缺陷被追踪为CVE-2023-6000，这是一个影响Popup Builder版本4.2.3及更早版本的跨站点脚本(XSS)漏洞，最初于2023年11月披露。

今年年初发现的Balada Injector活动利用该特定漏洞感染了6700多个网站，许多网站管理员都没能足够快地修补补丁。 有报告发现在上个月一个针对WordPress插件上的相同漏洞活动显著增加。

根据PublicWWW的结果，在3329个WordPress网站中发现了与这一最新活动相关的代码注入 ，Sucuri自己的扫描仪检测到了1170个感染。

注射细节

这些攻击会感染WordPress管理界面的自定义JavaScript或自定义CSS部分，而恶意代码则存储在“wp_postmeta”数据库表中。

注入代码的主要功能是充当各种Popup Builder插件事件的事件处理程序，

例如“sgpb-ShouldOpen”、“sgpb-ShouldClose”、“sgpb-WillOpen”、“sgpbDidOpen”、“sgpbWillClose”和“ sgpb-DidClose”。

恶意代码会在插件的特定操作时执行，例如当弹出窗口打开或关闭时。

Sucuri表示，代码的具体操作可能有所不同，但注入的主要目的是将受感染网站的访问者重定向到恶意目的地，例如网络钓鱼页面和恶意软件投放网站。

具体来说，在某些感染中，分析人员观察到代码注入重定向URL (hxxp://ttincoming.traveltraffic[.]cc/?traffic)作为“contact-form-7”弹出窗口的“redirect-url”参数。

注射的一种变体

上面的注入从外部源检索恶意代码片段并将其注入到网页头部以供浏览器执行。

实际上，攻击者有可能通过这种方法实现一系列恶意目标，其中许多目标可能比重定向更严重。

防守

这些攻击源自

域“ttincoming.traveltraffic[.]cc”和“host.cloudsonicwave[.]com”，因此建议阻止这两个域。

如果在站点上使用Popup Builder插件，请升级到最新版本（当前为 4.2.7），该版本解决了CVE-2023-6000和其他安全问题。

WordPress统计数据显示，目前至少有80000个活跃站点使用Popup Builder 4.1及更早版本，因此攻击面仍然很大。