ProHoster > بلوق > أخبار الإنترنت > الباب الخلفي في 93 مكونًا إضافيًا وموضوعًا لـ AccessPress مستخدمة في 360 ألف موقع

الباب الخلفي في 93 مكونًا إضافيًا وموضوعًا لـ AccessPress مستخدمة في 360 ألف موقع

وتمكن المهاجمون من تضمين باب خلفي في 40 مكونًا إضافيًا و53 سمة لنظام إدارة محتوى WordPress، الذي طورته شركة AccessPress، التي تدعي أن إضافاتها تُستخدم في أكثر من 360 ألف موقع. لم يتم بعد تقديم نتائج تحليل الحادثة، ولكن من المفترض أن الكود الخبيث قد تم إدخاله أثناء اختراق موقع AccessPress، مما أدى إلى إجراء تغييرات على الأرشيفات المعروضة للتنزيل مع الإصدارات التي تم إصدارها بالفعل، نظرًا لوجود الباب الخلفي فقط في الكود الموزع من خلال موقع AccessPress الرسمي، ولكنه غائب في تلك الإصدارات نفسها من الوظائف الإضافية الموزعة من خلال دليل WordPress.org.

تم اكتشاف التغييرات الضارة بواسطة باحث في JetPack (قسم من مطور WordPress Automatic) أثناء فحص التعليمات البرمجية الضارة الموجودة على موقع الويب الخاص بالعميل. أظهر تحليل الموقف وجود تغييرات ضارة في الوظيفة الإضافية WordPress التي تم تنزيلها من موقع AccessPress الرسمي. وخضعت الوظائف الإضافية الأخرى من نفس الشركة المصنعة أيضًا لتعديلات ضارة أتاحت الوصول الكامل إلى الموقع باستخدام حقوق المسؤول.

أثناء التعديل، أضاف المهاجمون ملف "initial.php" إلى الأرشيف الذي يحتوي على المكونات الإضافية والموضوعات، والذي تم ربطه عبر توجيه "include" في ملف "functions.php". ولإرباك المسار، تم تمويه المحتوى الضار الموجود في ملف "initial.php" على هيئة كتلة بيانات مشفرة باستخدام Base64. قام الإدخال الضار، تحت ستار الحصول على صورة من موقع الويب wp-theme-connect.com، بتحميل رمز الباب الخلفي مباشرة في ملف wp-includes/vars.php.

الباب الخلفي في 93 مكونًا إضافيًا وموضوعًا لـ AccessPress مستخدمة في 360 ألف موقع
الباب الخلفي في 93 مكونًا إضافيًا وموضوعًا لـ AccessPress مستخدمة في 360 ألف موقع

تم تحديد المواقع الأولى التي تضمنت تغييرات ضارة على وظائف AccessPress الإضافية في سبتمبر 2021. من المفترض أنه تم إدخال الباب الخلفي في الوظائف الإضافية. لم يتم الرد على الإخطار الأول لـ AccessPress بشأن المشكلة التي تم تحديدها، ولم يتمكن AccessPress من جذب الانتباه إلا بعد إشراك فريق WordPress.org في التحقيق. في 15 أكتوبر 2021، تمت إزالة الأرشيفات المتأثرة بالباب الخلفي من موقع AccessPress، وتم إصدار إصدارات جديدة من الوظائف الإضافية في 17 يناير 2022.

قامت Sucuri بشكل منفصل بفحص المواقع التي تم تثبيت الإصدارات المتأثرة من AccessPress عليها وحددت وجود وحدات ضارة تم تحميلها من خلال باب خلفي أرسل بريدًا عشوائيًا وأعاد توجيه التحولات إلى مواقع احتيالية (تم تأريخ الوحدات في عامي 2019 و2020). من المفترض أن مؤلفي الباب الخلفي كانوا يبيعون إمكانية الوصول إلى المواقع المخترقة.

المواضيع التي تحتوي على استبدال الباب الخلفي:

  • AccessBuddy 1.0.0
  • الوصول إلى الصحافة الأساسية 3.2.1
  • اكسبريس لايت 2.92
  • Accesspress-ماج 2.6.5
  • الوصول إلى المنظر 4.5
  • الوصول إلى الصحافة راي 1.19.5
  • الوصول إلى الجذر 2.5
  • الوصول إلى الصحافة 1.9.1
  • الوصول إلى المتجر 2.4.9
  • وكالة لايت 1.1.6
  • ابلايت 1.0.6
  • نغمة 1.0.4
  • مدون 1.2.6
  • البناء لايت 1.2.5
  • دوكو 1.0.27
  • تنوير 1.3.5
  • متجر الأزياء 1.2.1
  • التصوير الفوتوغرافي 2.4.0
  • غاغا كورب 1.0.8
  • غاغا لايت 1.4.2
  • مساحة واحدة 2.2.8
  • مدونة المنظر 3.1.1574941215
  • المنظر 1.3.6
  • النقطة 1.1.2
  • تدور 1.3.1
  • تموج 1.2.0
  • سكرولمي 2.1.0
  • سبورتس ماج 1.2.1
  • مخزن فيلا 1.4.1
  • سوينغ لايت 1.1.9
  • قاذفة 1.3.2
  • الاثنين 1.4.1
  • فك التشفير لايت 1.3.1
  • يونيكون لايت 1.2.6
  • فماج 1.2.7
  • مجلة لايت 1.3.5
  • مجلة الأخبار 1.0.5
  • زيغي بيبي 1.0.6
  • مستحضرات التجميل زيجسي 1.0.5
  • زيجسي لايت 2.0.9

المكونات الإضافية التي تم اكتشاف استبدال الباب الخلفي فيها:

  • الوصول إلى البريد المجهول 2.8.0 2.8.1 1
  • Accesspress-custom-CSS 2.0.1 2.0.2
  • Accesspress-custom-post-type 1.0.8 1.0.9
  • Accesspress-facebook-auto-post 2.1.3 2.1.4
  • Accesspress-instagram-feed 4.0.3 4.0.4
  • أكسبريس بينتيريست 3.3.3 3.3.4
  • Accesspress-social-counter 1.9.1 1.9.2
  • الوصول إلى الرموز الاجتماعية 1.8.2 1.8.3
  • Accesspress-social-login-lite 3.4.7 3.4.8
  • Accesspress-social-share 4.5.5 4.5.6
  • Accesspress-twitter-auto-post 1.4.5 1.4.6
  • Accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • رفيق أب 1.0.7 2
  • نموذج اتصال AP 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • قائمة ap الضخمة 3.0.5 3.0.6
  • AP-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • تعليقات-تعطيل-الوصول-الوصول 1.0.7 1.0.8
  • علامة التبويب سهلة الجانب CTA 1.0.7 1.0.8
  • Everest-admin-theme-lite 1.0.7 1.0.8
  • ايفرست-قريبا-لايت 1.1.0 1.1.1
  • ايفرست-تعليق-تصنيف-لايت 2.0.4 2.0.5
  • ايفرست-عداد لايت 2.0.7 2.0.8
  • Everest-faq-manager-lite 1.0.8 1.0.9
  • معرض ايفرست لايت 1.0.8 1.0.9
  • Everest-google-places-reviews-lite 1.0.9 2.0.0
  • مراجعة ايفرست لايت 1.0.7
  • ايفرست تاب لايت 2.0.3 2.0.4
  • ايفرست الجدول الزمني لايت 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • شريط تمرير المنتج لـ woocommerce-lite 1.1.5 1.1.6
  • Smart-logo-showcase-lite 1.1.7 1.1.8
  • منشورات التمرير الذكية 2.0.8 2.0.9
  • التمرير الذكي إلى الأعلى لايت 1.0.3 1.0.4
  • إجمالي الامتثال لـ GDPR 1.0.4
  • مجموع الفريق لايت 1.1.1 1.1.2
  • Ultimate-author-box-lite 1.1.2 1.1.3
  • Ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • معلومات مستخدم ملف تعريف الارتباط wp 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • القائمة العائمة wp 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

المصدر: opennet.ru

إضافة تعليق