Ang mga tig-atake nakahimo sa pag-embed sa usa ka backdoor sa 40 nga mga plugins ug 53 nga mga tema alang sa WordPress content management system, nga gimugna sa AccessPress, nga nag-angkon nga ang mga add-on niini gigamit sa labaw sa 360 ka libo nga mga site. Ang mga resulta sa pag-analisar sa insidente wala pa gihatag, apan gituohan nga ang malisyoso nga code gipaila sa panahon sa pagkompromiso sa AccessPress website, nga naghimo sa mga pagbag-o sa mga archive nga gitanyag alang sa pag-download nga adunay gipagawas na nga mga pagpagawas, tungod kay ang backdoor anaa na. lamang sa code nga gipang-apod-apod pinaagi sa opisyal nga AccessPress nga website, apan wala sa mga parehas nga pagpagawas sa mga add-on nga gipang-apod-apod pinaagi sa WordPress.org nga direktoryo.
Ang malisyosong mga kausaban nadiskobrehan sa usa ka tigdukiduki sa JetPack (usa ka dibisyon sa WordPress developer Automatic) samtang nagsusi sa malisyoso nga code nga makita sa website sa usa ka kliyente. Ang pag-analisar sa sitwasyon nagpakita nga ang malisyosong mga kausaban anaa sa WordPress add-on nga gi-download gikan sa opisyal nga AccessPress website. Ang ubang mga add-on gikan sa parehas nga tiggama gipailalom usab sa malisyosong mga pagbag-o nga nagtugot sa hingpit nga pag-access sa site nga adunay mga katungod sa tagdumala.
Atol sa pagbag-o, gidugang sa mga tig-atake ang "initial.php" nga file sa mga archive nga adunay mga plugins ug tema, nga konektado pinaagi sa "include" nga direktiba sa "functions.php" file. Aron malibug ang agianan, ang malisyosong sulod sa βinitial.phpβ nga payl gi-camouflaged isip base64 nga naka-encode nga bloke sa datos. Ang malisyosong pagsal-ot, ubos sa takos sa pagkuha og hulagway gikan sa website nga wp-theme-connect.com, direktang nagkarga sa backdoor code ngadto sa wp-includes/vars.php file.
Ang unang mga site nga naglakip sa malisyosong mga pagbag-o sa AccessPress add-on giila niadtong Septiyembre 2021. Gituohan nga niadto nga ang backdoor gisulod sa mga add-on. Ang una nga pahibalo sa AccessPress bahin sa nahibal-an nga problema wala matubag, ug ang AccessPress nakuha ra ang atensyon pagkahuman naapil ang grupo sa WordPress.org sa imbestigasyon. Kaniadtong Oktubre 15, 2021, ang mga archive nga naapektuhan sa backdoor gikuha gikan sa website sa AccessPress, ug ang mga bag-ong bersyon sa mga add-on gipagawas kaniadtong Enero 17, 2022.
Gilain nga gisusi sa Sucuri ang mga site kung diin na-install ang mga apektadong bersyon sa AccessPress ug nahibal-an ang presensya sa mga malisyosong module nga gikarga sa usa ka backdoor nga nagpadala sa spam ug gi-redirect ang mga pagbalhin sa mga malimbungon nga site (ang mga module napetsahan 2019 ug 2020). Gituohan nga ang mga tagsulat sa backdoor nagbaligya og access sa mga nakompromiso nga mga site.
Mga tema diin ang backdoor substitution girekord:
- accessbuddy 1.0.0
- accesspress-basic 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-parallax 4.5
- accesspress-ray 1.19.5
- accesspress-gamut 2.5
- accesspress-staple 1.9.1
- accesspress-store 2.4.9
- ahensya-lite 1.1.6
- aplikado 1.0.6
- bingle 1.0.4
- blogger 1.2.6
- construction-lite 1.2.5
- doko 1.0.27
- lamdag 1.3.5
- fashstore 1.2.1
- litrato 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- usa ka luna 2.2.8
- paralaks-blog 3.1.1574941215
- paralaksoso 1.3.6
- punte 1.1.2
- nagtuyok 1.3.1
- ripple 1.2.0
- scrollme 2.1.0
- sportsmag 1.2.1
- storevilla 1.4.1
- swing-lite 1.1.9
- ang-launcher 1.3.2
- ang-lunes 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-news 1.0.5
- zigcy-bata 1.0.6
- zigcy-cosmetics 1.0.5
- zigcy-lite 2.0.9
Mga plugin diin nakit-an ang pagpuli sa backdoor:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-type 1.0.8 1.0.9
- accesspress-facebook-auto-post 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-social-counter 1.9.1 1.9.2
- accesspress-social-icons 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- accesspress-social-share 4.5.5 4.5.6
- accesspress-twitter-auto-post 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-icons-lite 1.0.9
- ap-kauban 1.0.7 2
- ap-contact-form 1.0.6 1.0.7
- ap-custom-testimonial 1.4.6 1.4.7
- ap-mega-menu 3.0.5 3.0.6
- ap-pricing-tables-lite 1.1.2 1.1.3
- apex-notification-bar-lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- comments-disable-accesspress 1.0.7 1.0.8
- dali nga kilid-tab-cta 1.0.7 1.0.8
- everest-admin-theme-lite 1.0.7 1.0.8
- everest-coming-soon-lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- everest-counter-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-gallery-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-review-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inline-call-to-action-builder-lite 1.1.0 1.1.1
- product-slider-for-woocommerce-lite 1.1.5 1.1.6
- smart-logo-showcase-lite 1.1.7 1.1.8
- smart-scroll-posts 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- total-team-lite 1.1.1 1.1.2
- ultimate-author-box-lite 1.1.2 1.1.3
- ultimate-form-builder-lite 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-slider 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-cookie-user-info 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- wp-floating-menu 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-popup-banners 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-gallery-lite 1.1.1
Source: opennet.ru