Die aanvallers het daarin geslaag om 'n agterdeur in 40 inproppe en 53 temas in te sluit vir die WordPress-inhoudbestuurstelsel, ontwikkel deur AccessPress, wat beweer dat sy byvoegings op meer as 360 duisend werwe gebruik word. Die resultate van die ontleding van die voorval is nog nie verskaf nie, maar daar word aanvaar dat die kwaadwillige kode ingestel is tydens die kompromie van die AccessPress-webwerf, wat veranderinge aangebring het aan die argiewe wat aangebied word vir aflaai met reeds vrygestelde vrystellings, aangesien die agterdeur teenwoordig is slegs in die kode wat deur die amptelike AccessPress-webwerf versprei word, maar is afwesig in dieselfde vrystellings van byvoegings wat deur die WordPress.org-gids versprei word.
Die kwaadwillige veranderinge is ontdek deur 'n navorser by JetPack ('n afdeling van WordPress-ontwikkelaar Automatic) terwyl kwaadwillige kode ondersoek wat op 'n kliënt se webwerf gevind is. ’n Ontleding van die situasie het getoon dat kwaadwillige veranderinge teenwoordig was in die WordPress-byvoeging wat van die amptelike AccessPress-webwerf afgelaai is. Ander byvoegings van dieselfde vervaardiger was ook onderhewig aan kwaadwillige wysigings wat volle toegang tot die webwerf met administrateurregte moontlik gemaak het.
Tydens die wysiging het die aanvallers die “initial.php”-lêer by die argiewe gevoeg met plugins en temas, wat gekoppel is via die “include”-instruksie in die “functions.php”-lêer. Om die spoor te verwar, is die kwaadwillige inhoud in die "initial.php"-lêer gekamoefleer as 'n base64-gekodeerde blok data. Die kwaadwillige insetsel, onder die dekmantel van die verkryging van 'n prent vanaf die webwerf wp-theme-connect.com, het die agterdeur-kode direk in die wp-includes/vars.php-lêer gelaai.
Die eerste werwe wat kwaadwillige veranderinge aan AccessPress-byvoegings ingesluit het, is in September 2021 geïdentifiseer. Daar word aanvaar dat dit toe was dat die agterdeur in die byvoegings geplaas is. Die eerste kennisgewing aan AccessPress oor die geïdentifiseerde probleem het onbeantwoord gegaan, en AccessPress kon eers aandag kry nadat die WordPress.org-span by die ondersoek betrek is. Op 15 Oktober 2021 is die argiewe wat deur die agterdeur geraak is van die AccessPress-webwerf verwyder, en nuwe weergawes van die byvoegings is op 17 Januarie 2022 vrygestel.
Sucuri het afsonderlik werwe ondersoek waarop geaffekteerde weergawes van AccessPress geïnstalleer is en die teenwoordigheid van kwaadwillige modules geïdentifiseer wat deur 'n agterdeur gelaai is wat strooipos gestuur het en oorgange na bedrieglike werwe herlei het (die modules is gedateer 2019 en 2020). Daar word aanvaar dat die outeurs van die agterdeur toegang tot gekompromitteerde werwe verkoop het.
Temas waarin die agterdeurvervanging aangeteken word:
- accessbuddy 1.0.0
- accesspress-basic 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-parallax 4.5
- toegangsdrukstraal 1.19.5
- accesspress-root 2.5
- accesspress-staple 1.9.1
- accesspress-winkel 2.4.9
- agentskap-lite 1.1.6
- apliet 1.0.6
- bingle 1.0.4
- blogger 1.2.6
- konstruksie-lite 1.2.5
- doko 1.0.27
- verlig 1.3.5
- modewinkel 1.2.1
- fotografie 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- een-spasie 2.2.8
- parallax-blog 3.1.1574941215
- parallaksoom 1.3.6
- punte 1.1.2
- draai 1.3.1
- rimpel 1.2.0
- scrollme 2.1.0
- sportmag 1.2.1
- storevilla 1.4.1
- swing-lite 1.1.9
- die lanseerder 1.3.2
- die-maandag 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-nuus 1.0.5
- zigcy-baba 1.0.6
- zigcy-skoonheidsmiddels 1.0.5
- zigcy-lite 2.0.9
Inproppe waarin agterdeurvervanging bespeur is:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-tipe 1.0.8 1.0.9
- accesspress-facebook-outo-pos 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-sosiale-toonbank 1.9.1 1.9.2
- accesspress-sosiale-ikone 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- accesspress-social-share 4.5.5 4.5.6
- toegangpress-twitter-outopos 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-ikone-lite 1.0.9
- ap-metgesel 1.0.7 2
- ap-kontak-vorm 1.0.6 1.0.7
- ap-custom-getuigskrif 1.4.6 1.4.7
- ap-mega-spyskaart 3.0.5 3.0.6
- ap-pricing-tables-lite 1.1.2 1.1.3
- apex-kennisgewing-balk-lite 2.0.4 2.0.5
- cf7-winkel-na-db-lite 1.0.9 1.1.0
- comments-disable-accesspress 1.0.7 1.0.8
- maklik-kant-tab-cta 1.0.7 1.0.8
- everest-admin-tema-lite 1.0.7 1.0.8
- everest-binnekort-lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- everest-counter-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-galery-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-review-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inlyn-oproep-tot-aksie-bouer-lite 1.1.0 1.1.1
- produk-skuifbalk-vir-woocommerce-lite 1.1.5 1.1.6
- smart-logo-showcase-lite 1.1.7 1.1.8
- slim-blaai-plasings 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- totaal-span-lite 1.1.1 1.1.2
- uiteindelike-outeur-boks-lite 1.1.2 1.1.3
- uiteindelike-vorm-bouer-lite 1.5.0 1.5.1
- woo-kenteken-ontwerper-lite 1.1.0 1.1.1
- wp-1-skuifbalk 1.2.9 1.3.0
- wp-blog-bestuurder-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-koekie-gebruiker-inligting 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-boodskapper-knoppie-lite 2.0.7
- wp-floating-menu 1.4.4 1.4.5
- wp-media-bestuurder-lite 1.1.2 1.1.3
- wp-opspring-baniere 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-galery-lite 1.1.1
Bron: opennet.ru