近日,数千个使用 WordPress 内容管理系统的网站遭到黑客攻击。该攻击者利用了名为 tagDiv Composer 的热门插件中的一个最近修补的漏洞,向网页注入恶意代码。
据了解,存在漏洞的 tagDiv Composer 插件是使用 WordPress 主题 Newspaper 和 Newsmag 必须的组件。这两个主题在 Theme Forest 和 Envato 市场上累计下载量已超过15.5万。该漏洞被追踪为 CVE-2023-3169,属于跨站脚本(XSS)漏洞类型,使攻击者能够向网页注入恶意代码。这一漏洞的严重程度评级为10分制的7.1分。tagDiv Composer4.1版本对其进行了部分修复,4.2版本实现了完整修复。
图源备注:图片由AI生成,图片授权服务商Midjourney
据安全研究人员 Denis Sinegubko 发布的文章,攻击者正在利用该漏洞向网页注入脚本,将访问者重定向到各种诈骗网站。这些重定向链接通常推送假冒技术支持、欺诈彩票中奖信息,以及推送通知骗局,后者通过展示假验证码对话框骗用户订阅推送通知。
Sinegubko 所在的安全公司 Sucuri 自2017年开始跟踪该恶意软件运动,并将其命名为 Balada。Sucuri 估计,在过去6年中,Balada 已成功控制超过100万个网站。
仅上个月,Sucuri 就检测到 Balada 注入代码影响了超过1.7万个网站,几乎是之前一个月的两倍。超过9千个新的感染都是通过利用 CVE-2023-3169漏洞实现的。
Balada 攻击者一直试图获取所入侵网站的持续控制权。最常见的方式是注入可创建管理员权限账户的脚本。如果真正的管理员只删除重定向脚本而保留假冒的管理员账户,攻击者就可以利用管理权限再次添加恶意重定向脚本。
使用 WordPress 主题 Newspaper 或 Newsmag 的网站管理员应仔细检查自己的网站和事件日志,寻找感染的迹象。正如前文所述,Balada 攻击者试图获取对入侵网站的持续访问权限。除删除添加的恶意脚本外,还有必要检查后门代码和任何管理员账户的添加情况。