文章概要:

以下是對文章的三個要點總結:

1. WordPress網站中的tagDiv Composer插件存在跨站腳本（XSS）漏洞，已經被惡意利用。

2. 惡意代碼讓網站訪問者被重定向到各種詐騙網站。

3. 自2017年以來，一個被稱為Balada的持續(xù)攻擊者已經利用該漏洞控制了超過100萬個網站。

站長之家(ChinaZ.com) 10月10日 消息:近日，數(shù)千個使用 WordPress 內容管理系統(tǒng)的網站遭到黑客攻擊。該攻擊者利用了名為 tagDiv Composer 的熱門插件中的一個最近修補的漏洞，向網頁注入惡意代碼。

據(jù)了解，存在漏洞的 tagDiv Composer 插件是使用 WordPress 主題 Newspaper 和 Newsmag 必須的組件。這兩個主題在 Theme Forest 和 Envato 市場上累計下載量已超過15.5萬。該漏洞被追蹤為 CVE-2023-3169，屬于跨站腳本（XSS）漏洞類型，使攻擊者能夠向網頁注入惡意代碼。這一漏洞的嚴重程度評級為10分制的7.1分。tagDiv Composer4.1版本對其進行了部分修復，4.2版本實現(xiàn)了完整修復。

圖源備注：圖片由AI生成，圖片授權服務商Midjourney

據(jù)安全研究人員 Denis Sinegubko 發(fā)布的文章，攻擊者正在利用該漏洞向網頁注入腳本，將訪問者重定向到各種詐騙網站。這些重定向鏈接通常推送假冒技術支持、欺詐彩票中獎信息，以及推送通知騙局，后者通過展示假驗證碼對話框騙用戶訂閱推送通知。

Sinegubko 所在的安全公司 Sucuri 自2017年開始跟蹤該惡意軟件運動，并將其命名為 Balada。Sucuri 估計，在過去6年中，Balada 已成功控制超過100萬個網站。

僅上個月，Sucuri 就檢測到 Balada 注入代碼影響了超過1.7萬個網站，幾乎是之前一個月的兩倍。超過9千個新的感染都是通過利用 CVE-2023-3169漏洞實現(xiàn)的。

Balada 攻擊者一直試圖獲取所入侵網站的持續(xù)控制權。最常見的方式是注入可創(chuàng)建管理員權限賬戶的腳本。如果真正的管理員只刪除重定向腳本而保留假冒的管理員賬戶，攻擊者就可以利用管理權限再次添加惡意重定向腳本。

使用 WordPress 主題 Newspaper 或 Newsmag 的網站管理員應仔細檢查自己的網站和事件日志，尋找感染的跡象。正如前文所述，Balada 攻擊者試圖獲取對入侵網站的持續(xù)訪問權限。除刪除添加的惡意腳本外，還有必要檢查后門代碼和任何管理員賬戶的添加情況。

（舉報）