Els atacants van aconseguir integrar una porta del darrere en 40 complements i 53 temes per al sistema de gestió de continguts. WordPress, desenvolupat per AccessPress, que afirma que els seus complements s'utilitzen en més de 360 llocs web. Els resultats de la investigació de l'incident encara no s'han publicat, però es creu que el codi maliciós es va introduir durant el compromís del lloc web AccessPress, modificant els arxius descarregables de versions publicades anteriorment. La porta del darrere només és present al codi distribuït a través del lloc web oficial d'AccessPress, però està absent de les mateixes versions de complements distribuïdes a través del catàleg. WordPress. Org.
La presència de canvis maliciosos va ser descoberta per un investigador de JetPack (una divisió d'Automatic, una empresa que desenvolupa WordPress) durant la investigació del codi maliciós descobert en un dels llocs web dels clients. L'anàlisi de la situació va mostrar que hi havia modificacions malicioses presents a WordPress- un complement descarregat del lloc web oficial d'AccessPress. També s'ha descobert que altres complements del mateix proveïdor eren vulnerables a modificacions malicioses, cosa que permet l'accés complet al lloc amb drets d'administrador.
Durant la modificació, els atacants van afegir el fitxer "initial.php" als arxius amb complements i temes, que es va connectar mitjançant la directiva "include" al fitxer "functions.php". Per confondre el rastre, el contingut maliciós del fitxer "initial.php" es va camuflar com un bloc de dades codificat en base64. La inserció maliciosa, sota l'aparença d'obtenir una imatge del lloc web wp-theme-connect.com, va carregar directament el codi de la porta posterior al fitxer wp-includes/vars.php.
Els primers llocs web que incorporaven canvis maliciosos als complements d'AccessPress es van descobrir el setembre del 2021. Es creu que en aquell moment es va introduir una porta del darrere als complements. La notificació inicial d'AccessPress sobre el problema no va rebre resposta i AccessPress només va cridar l'atenció després de contractar un equip per investigar. WordPress.org. El 15 d'octubre de 2021, els arxius amb porta secundària es van eliminar del lloc web d'AccessPress i les noves versions dels complements es van publicar el 17 de gener de 2022.
Sucuri va examinar per separat els llocs on es van instal·lar versions afectades d'AccessPress i va identificar la presència de mòduls maliciosos carregats a través d'una porta posterior que enviava correu brossa i transicions redirigits a llocs fraudulents (els mòduls tenien la data de 2019 i 2020). Se suposa que els autors de la porta del darrere venien accés a llocs compromesos.
Temes en què es registra la substitució de la porta del darrere:
- accessbuddy 1.0.0
- accesspress-basic 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-parallax 4.5
- accesspress-ray 1.19.5
- accesspress-root 2.5
- accesspress-staple 1.9.1
- accesspress-store 2.4.9
- agency-lite 1.1.6
- aplite 1.0.6
- bingle 1.0.4
- blogger 1.2.6
- construction-lite 1.2.5
- doko 1.0.27
- il·luminar 1.3.5
- botiga de moda 1.2.1
- fotografia 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- un espai 2.2.8
- parallax-blog 3.1.1574941215
- parallaxsoma 1.3.6
- punt 1.1.2
- gira 1.3.1
- ondulació 1.2.0
- scrollme 2.1.0
- sportsmag 1.2.1
- magatzem 1.4.1
- swing-lite 1.1.9
- el llançador 1.3.2
- el-dilluns 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-news 1.0.5
- zigcy-baby 1.0.6
- zigcy-cosmetics 1.0.5
- zigcy-lite 2.0.9
Connectors en què s'ha detectat la substitució de la porta posterior:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-type 1.0.8 1.0.9
- accesspress-facebook-auto-post 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-social-counter 1.9.1 1.9.2
- accesspress-social-icons 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- accesspress-social-share 4.5.5 4.5.6
- accesspress-twitter-auto-post 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-icons-lite 1.0.9
- ap-companion 1.0.7 2
- ap-contact-form 1.0.6 1.0.7
- ap-custom-testimonial 1.4.6 1.4.7
- ap-mega-menú 3.0.5 3.0.6
- ap-pricing-tables-lite 1.1.2 1.1.3
- apex-notification-bar-lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- comments-disable-accesspress 1.0.7 1.0.8
- easy-side-tab-cta 1.0.7 1.0.8
- everest-admin-theme-lite 1.0.7 1.0.8
- everest-coming-soon-lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- everest-counter-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-gallery-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-review-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inline-call-to-action-builder-lite 1.1.0 1.1.1
- Product-slider-for-woocommerce-lite 1.1.5 1.1.6
- smart-logo-showcase-lite 1.1.7 1.1.8
- missatges de desplaçament intel·ligent 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- total-equip-lite 1.1.1 1.1.2
- ultimate-author-box-lite 1.1.2 1.1.3
- ultimate-form-builder-lite 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-slider 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-cookie-user-info 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- wp-floating-menu 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-popup-banners 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-gallery-lite 1.1.1
Font: opennet.ru
