ProHoster > Blog > internet nyheder > Bagdør i 93 AccessPress plugins og temaer brugt på 360 tusind websteder

Bagdør i 93 AccessPress plugins og temaer brugt på 360 tusind websteder

Angriberne formåede at indlejre en bagdør i 40 plugins og 53 temaer til WordPress indholdsstyringssystemet, udviklet af AccessPress, som hævder, at dets tilføjelser bruges på mere end 360 tusind websteder. Resultaterne af analysen af ​​hændelsen er endnu ikke givet, men det antages, at den ondsindede kode blev introduceret under kompromitteringen af ​​AccessPress-webstedet, hvilket gjorde ændringer i de arkiver, der tilbydes til download med allerede frigivne udgivelser, da bagdøren er til stede kun i koden distribueret gennem det officielle AccessPress-websted, men er fraværende i de samme udgivelser af tilføjelser distribueret gennem WordPress.org-biblioteket.

De ondsindede ændringer blev opdaget af en forsker hos JetPack (en afdeling af WordPress-udvikleren Automatic), mens han undersøgte ondsindet kode fundet på en klients hjemmeside. Analyse af situationen viste, at ondsindede ændringer var til stede i WordPress-tilføjelsen downloadet fra det officielle AccessPress-websted. Andre tilføjelser fra samme producent var også genstand for ondsindede ændringer, der tillod fuld adgang til webstedet med administratorrettigheder.

Under ændringen tilføjede angriberne filen "initial.php" til arkiverne med plugins og temaer, som blev forbundet via "include"-direktivet i "functions.php"-filen. For at forvirre sporet blev det ondsindede indhold i "initial.php"-filen camoufleret som en base64-kodet datablok. Den ondsindede indsættelse, under dække af at få et billede fra webstedet wp-theme-connect.com, indlæste bagdørskoden direkte i filen wp-includes/vars.php.

Bagdør i 93 AccessPress plugins og temaer brugt på 360 tusind websteder
Bagdør i 93 AccessPress plugins og temaer brugt på 360 tusind websteder

De første websteder, der inkluderede ondsindede ændringer af AccessPress-tilføjelser, blev identificeret i september 2021. Det antages, at det var dengang, at bagdøren blev indsat i tilføjelserne. Den første meddelelse til AccessPress om det identificerede problem blev ubesvaret, og AccessPress var først i stand til at få opmærksomhed efter at have inddraget WordPress.org-teamet i undersøgelsen. Den 15. oktober 2021 blev arkiverne berørt af bagdøren fjernet fra AccessPress-webstedet, og nye versioner af tilføjelserne blev frigivet den 17. januar 2022.

Sucuri undersøgte særskilt websteder, hvor berørte versioner af AccessPress var installeret, og identificerede tilstedeværelsen af ​​ondsindede moduler indlæst gennem en bagdør, der sendte spam og omdirigerede overgange til svigagtige websteder (modulerne var dateret 2019 og 2020). Det antages, at bagdørens forfattere solgte adgang til kompromitterede websteder.

Temaer, hvor bagdørsudskiftningen er registreret:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-parallax 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • agentur-lite 1.1.6
  • aplit 1.0.6
  • bingle 1.0.4
  • blogger 1.2.6
  • konstruktion-lite 1.2.5
  • doko 1.0.27
  • oplyse 1.3.5
  • fashstore 1.2.1
  • fotografering 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • et-rum 2.2.8
  • parallax-blog 3.1.1574941215
  • parallaxsome 1.3.6
  • point 1.1.2
  • dreje 1.3.1
  • ripple 1.2.0
  • scrollme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • løfteraketten 1.3.2
  • mandagen 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-nyheder 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-kosmetik 1.0.5
  • zigcy-lite 2.0.9

Plugins, hvor bagdørssubstitution blev registreret:

  • accesspress-anonym-indlæg 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-ikoner 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-companion 1.0.7 2
  • ap-kontakt-formular 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-menu 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • comments-disable-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • produkt-skyder-til-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-posts 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-skyder 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-brugerinfo 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-flydende-menu 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-bannere 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Kilde: opennet.ru

Tilføj en kommentar