Aanvallers het daarin geslaag om 'n agterdeur in 40 inproppe en 53 temas vir die inhoudbestuurstelsel in te sluit. WordPress, ontwikkel deur AccessPress, wat beweer dat hul byvoegings op meer as 360 000 webwerwe gebruik word. Die resultate van die voorvalondersoek is nog nie vrygestel nie, maar daar word geglo dat die kwaadwillige kode ingebring is tydens die kompromie van die AccessPress-webwerf, wat die aflaaibare argiewe van voorheen vrygestelde weergawes gewysig het. Die agterdeur is slegs teenwoordig in die kode wat deur die amptelike AccessPress-webwerf versprei word, maar is afwesig van dieselfde byvoegingsvrystellings wat deur die katalogus versprei word. WordPressorg.
Die teenwoordigheid van kwaadwillige veranderinge is ontdek deur 'n navorser van JetPack (’n afdeling van Automatic, ’n maatskappy wat ontwikkel WordPress) tydens die ondersoek na kwaadwillige kode wat op een van die kliënte se webwerwe ontdek is. Die ontleding van die situasie het getoon dat kwaadwillige wysigings teenwoordig was in WordPress- 'n byvoeging wat van die amptelike AccessPress-webwerf afgelaai is. Ander byvoegings van dieselfde verskaffer is ook kwesbaar gevind vir kwaadwillige wysiging, wat volle toegang tot die webwerf met administrateurregte toelaat.
Tydens die wysiging het die aanvallers die “initial.php”-lêer by die argiewe gevoeg met plugins en temas, wat gekoppel is via die “include”-instruksie in die “functions.php”-lêer. Om die spoor te verwar, is die kwaadwillige inhoud in die "initial.php"-lêer gekamoefleer as 'n base64-gekodeerde blok data. Die kwaadwillige insetsel, onder die dekmantel van die verkryging van 'n prent vanaf die webwerf wp-theme-connect.com, het die agterdeur-kode direk in die wp-includes/vars.php-lêer gelaai.
Die eerste webwerwe wat kwaadwillige veranderinge in AccessPress-byvoegings ingesluit het, is in September 2021 ontdek. Daar word geglo dat 'n agterdeur destyds in die byvoegings ingebring is. AccessPress se aanvanklike kennisgewing van die probleem het onbeantwoord gebly, en AccessPress het eers aandag getrek nadat 'n span ondersoek ingestel is. WordPress.org. Op 15 Oktober 2021 is die agterdeur-argiewe van die AccessPress-webwerf verwyder, en nuwe weergawes van die byvoegings is op 17 Januarie 2022 vrygestel.
Sucuri het afsonderlik werwe ondersoek waarop geaffekteerde weergawes van AccessPress geïnstalleer is en die teenwoordigheid van kwaadwillige modules geïdentifiseer wat deur 'n agterdeur gelaai is wat strooipos gestuur het en oorgange na bedrieglike werwe herlei het (die modules is gedateer 2019 en 2020). Daar word aanvaar dat die outeurs van die agterdeur toegang tot gekompromitteerde werwe verkoop het.
Temas waarin die agterdeurvervanging aangeteken word:
- accessbuddy 1.0.0
- accesspress-basic 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-parallax 4.5
- toegangsdrukstraal 1.19.5
- accesspress-root 2.5
- accesspress-staple 1.9.1
- accesspress-winkel 2.4.9
- agentskap-lite 1.1.6
- apliet 1.0.6
- bingle 1.0.4
- blogger 1.2.6
- konstruksie-lite 1.2.5
- doko 1.0.27
- verlig 1.3.5
- modewinkel 1.2.1
- fotografie 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- een-spasie 2.2.8
- parallax-blog 3.1.1574941215
- parallaksoom 1.3.6
- punte 1.1.2
- draai 1.3.1
- rimpel 1.2.0
- scrollme 2.1.0
- sportmag 1.2.1
- storevilla 1.4.1
- swing-lite 1.1.9
- die lanseerder 1.3.2
- die-maandag 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-nuus 1.0.5
- zigcy-baba 1.0.6
- zigcy-skoonheidsmiddels 1.0.5
- zigcy-lite 2.0.9
Inproppe waarin agterdeurvervanging bespeur is:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-tipe 1.0.8 1.0.9
- accesspress-facebook-outo-pos 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-sosiale-toonbank 1.9.1 1.9.2
- accesspress-sosiale-ikone 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- accesspress-social-share 4.5.5 4.5.6
- toegangpress-twitter-outopos 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-ikone-lite 1.0.9
- ap-metgesel 1.0.7 2
- ap-kontak-vorm 1.0.6 1.0.7
- ap-custom-getuigskrif 1.4.6 1.4.7
- ap-mega-spyskaart 3.0.5 3.0.6
- ap-pricing-tables-lite 1.1.2 1.1.3
- apex-kennisgewing-balk-lite 2.0.4 2.0.5
- cf7-winkel-na-db-lite 1.0.9 1.1.0
- comments-disable-accesspress 1.0.7 1.0.8
- maklik-kant-tab-cta 1.0.7 1.0.8
- everest-admin-tema-lite 1.0.7 1.0.8
- everest-binnekort-lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- everest-counter-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-galery-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-review-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inlyn-oproep-tot-aksie-bouer-lite 1.1.0 1.1.1
- produk-skuifbalk-vir-woocommerce-lite 1.1.5 1.1.6
- smart-logo-showcase-lite 1.1.7 1.1.8
- slim-blaai-plasings 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- totaal-span-lite 1.1.1 1.1.2
- uiteindelike-outeur-boks-lite 1.1.2 1.1.3
- uiteindelike-vorm-bouer-lite 1.5.0 1.5.1
- woo-kenteken-ontwerper-lite 1.1.0 1.1.1
- wp-1-skuifbalk 1.2.9 1.3.0
- wp-blog-bestuurder-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-koekie-gebruiker-inligting 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-boodskapper-knoppie-lite 2.0.7
- wp-floating-menu 1.4.4 1.4.5
- wp-media-bestuurder-lite 1.1.2 1.1.3
- wp-opspring-baniere 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-galery-lite 1.1.1
Bron: opennet.ru
