ProHoster > Blog > internetové zprávy > Backdoor v 93 pluginech a tématech AccessPress používaných na 360 tisících webech

Backdoor v 93 pluginech a tématech AccessPress používaných na 360 tisících webech

Útočníkům se podařilo vložit zadní vrátka do 40 pluginů a 53 témat pro redakční systém WordPress, vyvinutý společností AccessPress, která tvrdí, že její doplňky se používají na více než 360 tisících webech. Výsledky analýzy incidentu ještě nebyly poskytnuty, ale předpokládá se, že škodlivý kód byl zaveden během kompromitace webu AccessPress, kdy byly provedeny změny v archivech nabízených ke stažení s již vydanými verzemi, protože existuje zadní vrátka pouze v kódu distribuovaném prostřednictvím oficiální webové stránky AccessPress, ale chybí v těch stejných vydáních doplňků distribuovaných prostřednictvím adresáře WordPress.org.

Škodlivé změny objevil výzkumník z JetPack (divize WordPress developer Automatic) při zkoumání škodlivého kódu nalezeného na webu klienta. Analýza situace ukázala, že v doplňku WordPress staženém z oficiálního webu AccessPress byly přítomny škodlivé změny. Škodlivým úpravám, které umožňovaly plný přístup na stránky s administrátorskými právy, prošly i další doplňky od stejného výrobce.

Při úpravě útočníci přidali do archivů s pluginy a motivy soubor „initial.php“, který byl připojen přes direktivu „include“ v souboru „functions.php“. Aby byla stopa zmatena, škodlivý obsah v souboru „initial.php“ byl maskován jako blok dat zakódovaný v base64. Škodlivý insert pod rouškou získání obrázku z webu wp-theme-connect.com přímo načetl kód zadních vrátek do souboru wp-includes/vars.php.

Backdoor v 93 pluginech a tématech AccessPress používaných na 360 tisících webech
Backdoor v 93 pluginech a tématech AccessPress používaných na 360 tisících webech

První weby, které obsahovaly škodlivé změny doplňků AccessPress, byly identifikovány v září 2021. Předpokládá se, že právě tehdy byla zadní vrátka vložena do doplňků. První oznámení společnosti AccessPress o identifikovaném problému zůstalo bez odezvy a AccessPress byl schopen získat pozornost až poté, co do vyšetřování zapojil tým WordPress.org. 15. října 2021 byly z webu AccessPress odstraněny archivy ovlivněné backdoorem a 17. ledna 2022 byly vydány nové verze doplňků.

Sucuri samostatně zkoumala stránky, na kterých byly nainstalovány dotčené verze AccessPress, a identifikovala přítomnost škodlivých modulů načtených přes zadní vrátka, která odesílala spam a přesměrovávala přechody na podvodné stránky (moduly byly datovány 2019 a 2020). Předpokládá se, že autoři zadních vrátek prodávali přístup na kompromitované stránky.

Témata, ve kterých je nahraná zadní vrátka:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-paralaxa 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • agency-lite 1.1.6
  • aplite 1.0.6
  • bingle 1.0.4
  • blogger 1.2.6
  • construction-lite 1.2.5
  • doko 1.0.27
  • osvětlit 1.3.5
  • rychlý obchod 1.2.1
  • fotografie 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • jednomístný 2.2.8
  • paralaxa-blog 3.1.1574941215
  • paralaxom 1.3.6
  • punte 1.1.2
  • točit 1.3.1
  • zvlnění 1.2.0
  • scrollme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • spouštěč 1.3.2
  • pondělí 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-cosmetics 1.0.5
  • zigcy-lite 2.0.9

Pluginy, ve kterých byla zjištěna náhrada zadních vrátek:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-icons 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-companion 1.0.7 2
  • ap-contact-form 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-menu 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • comments-disable-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • product-slider-for-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-posts 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-floating-menu 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Zdroj: opennet.ru

Přidat komentář