在2023年9月,名為 Balada Injector 的惡意軟體對超過 17,000 個 WordPress 網站進行了攻擊,幾乎是8月份發現的攻擊數量的兩倍。
這其中有 9,000 個網站受到了最近披露的 tagDiv Composer 插件的安全漏洞(CVE-2023-3169,CVSS評分:6.1)的入侵。未經身份驗證的使用者可能會利用此漏洞執行儲存的跨站腳本(XSS)攻擊。
Sucuri 安全研究員 Denis Sinegubko 表示:“這並不是 Balada Injector 攻擊團體第一次針對 tagDiv 主題的漏洞進行攻擊。”
這類攻擊可以追溯到 2017 年夏季,當時針對 Newspaper 和 Newsmag WordPress 主題中披露的安全漏洞被瘋狂濫用。而 Balada Injector 是由 Doctor Web 在 2022 年 12 月首次發現的大規模入侵操作,其中攻擊者利用各種 WordPress 外掛漏洞在受影響的系統上部署 Linux 後門。
植入的主要目的是引導受感染網站的使用者前往偽冒的技術支援或是彩票中獎頁面。自 2017 年以來,已有超過 100 萬個網站受到該活動的影響。Balada Injector 涉及的攻擊以每幾週發生一次的頻率出現,通常是在週末的時候進行攻擊,而每週二檢測到的感染數量會急劇增加。最新一系列漏洞需要利用 CVE-2023-3169 注入惡意腳本,最終通過上傳後門、添加惡意外掛程式和建立惡意管理員來建立對網站的持續訪問。
從歷史上看,這些腳本的目標是 WordPress 網站管理員的登入權限,因為它們允許攻擊者通過管理介面提升的權限執行惡意操作,包括創建可用於後續攻擊的新管理員帳號。這些腳本能夠嵌入後門在網站的 404 錯誤頁面中,這些後門可以執行任意的 PHP 程式碼,或者使用嵌入到頁面中的程式碼來自動安裝惡意 wp-zexit 外掛。
Sucuri 將其描述為最複雜的腳本執行攻擊類型之一,因為它模仿了從 ZIP 檔案安裝外掛並啟動它的整個過程。該外掛的核心功能與後門相同,都是執行攻擊者遠端發送的PHP程式碼。
此外,在 9 月下旬觀察到新的攻擊模式,需要使用隨機程式碼注入來從遠端伺服器下載並啟動第二階段惡意軟體以安裝 wp-zexit 外掛。同時還使用模糊腳本將訪客的 cookie 傳輸到參與者控制的 URL ,並取得回傳的未定義 JavaScript 程式碼。
Sinegubko 解釋說:“攻擊者這次很明顯地沒有使用到 tagDiv Composer 漏洞,而是利用了在成功攻擊網站管理員後植入的後門與新創的惡意管理員。”
竣盟科技建議您,若使用 WordPress 設立網站,應注意以下五點安全措施:
保持WordPress及其插件和主題更新:
定期更新WordPress核心、插件和主題,以確保已修復已知的安全漏洞。
使用強密碼:
使用包含字母、數字和特殊字元的強密碼,定期更改密碼,為每個管理員和使用者分配唯一的憑證。
限制登入嘗試:
安裝登入嘗試次數限制的外掛程式,以防止暴力破解密碼,使用雙因素認證(2FA)增加額外層次的安全性。
備份網站:
定期備份整個網站,包括資料庫和檔案,確保備份存儲在安全的地方,並測試其可還原性。
安裝安全外掛程式:
安裝安全外掛程式,如Wordfence、Sucuri Security或iThemes Security,以監控和加固網站安全性。