ProHoster > Блог > internet vijesti > Backdoor u 93 AccessPress dodatka i teme korištene na 360 hiljada stranica

Backdoor u 93 AccessPress dodatka i teme korištene na 360 hiljada stranica

Napadači su uspeli da ugrade backdoor u 40 dodataka i 53 teme za WordPress sistem za upravljanje sadržajem, koji je razvio AccessPress, koji tvrdi da se njegovi dodaci koriste na više od 360 hiljada sajtova. Rezultati analize incidenta još nisu objavljeni, ali se pretpostavlja da je zlonamjerni kod unet prilikom kompromitacije AccessPress web stranice, unošenjem izmjena u arhive ponuđene za preuzimanje sa već objavljenim izdanjima, budući da je backdoor prisutan samo u kodu koji se distribuira putem službene AccessPress web stranice, ali ga nema u tim istim izdanjima dodataka distribuiranih preko WordPress.org direktorija.

Zlonamjerne promjene otkrio je istraživač u JetPack-u (odjel WordPress developera Automatic) dok je ispitivao zlonamjerni kod pronađen na web stranici klijenta. Analiza situacije pokazala je da su prisutne zlonamjerne promjene u WordPress dodatku preuzetom sa službene stranice AccessPress-a. Ostali dodaci istog proizvođača također su bili podložni zlonamjernim modifikacijama koje su omogućile potpuni pristup stranici s administratorskim pravima.

Tokom modifikacije, napadači su u arhivu sa dodacima i temama dodali fajl “initial.php”, koji je bio povezan preko “include” direktive u datoteci “functions.php”. Da bi se zbunio trag, zlonamjerni sadržaj u datoteci “initial.php” je kamufliran kao base64 kodirani blok podataka. Zlonamjerni umetak, pod maskom dobijanja slike sa web stranice wp-theme-connect.com, direktno je učitao backdoor kod u datoteku wp-includes/vars.php.

Backdoor u 93 AccessPress dodatka i teme korištene na 360 hiljada stranica
Backdoor u 93 AccessPress dodatka i teme korištene na 360 hiljada stranica

Prve stranice koje su uključivale zlonamjerne promjene dodataka AccessPress-a identificirane su u septembru 2021. Pretpostavlja se da je tada umetnut backdoor u dodatke. Prvo obavještenje AccessPressu o identificiranom problemu ostalo je bez odgovora, a AccessPress je uspio privući pažnju tek nakon što je u istragu uključio tim WordPress.org. 15. oktobra 2021. arhive zahvaćene backdoor-om su uklonjene sa AccessPress web stranice, a nove verzije dodataka objavljene su 17. januara 2022.

Sucuri je zasebno ispitao stranice na kojima su instalirane zahvaćene verzije AccessPress-a i identificirao prisustvo zlonamjernih modula učitanih kroz backdoor koji je slao neželjenu poštu i preusmjeravao prijelaze na lažne stranice (moduli su datirani 2019. i 2020.). Pretpostavlja se da su autori backdoor-a prodavali pristup ugroženim stranicama.

Teme u kojima je zabilježena zamjena backdoor:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-paralaksa 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • agency-lite 1.1.6
  • aplite 1.0.6
  • bingle 1.0.4
  • blogger 1.2.6
  • construction-lite 1.2.5
  • doko 1.0.27
  • prosvijetliti 1.3.5
  • fashstore 1.2.1
  • fotografija 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • jednoprostorni 2.2.8
  • parallax-blog 3.1.1574941215
  • parallaxsome 1.3.6
  • punte 1.1.2
  • okretati 1.3.1
  • ripple 1.2.0
  • scrollme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • the-launcher 1.3.2
  • ponedjeljak 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-cosmetics 1.0.5
  • zigcy-lite 2.0.9

Dodaci u kojima je otkrivena zamjena backdoor:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-icons 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-pratilac 1.0.7 2
  • ap-kontakt-obrazac 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-meni 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • comments-disable-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • proizvod-klizač-za-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-posts 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-floating-menu 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

izvor: opennet.ru

Dodajte komentar