Backdoor in 93 Plugins und Themes von AccessPress, die auf 360.000 Websites verwendet werden

Angreifern ist es gelungen, einen Hintertür-Zugang in 40 Plugins und 53 Themes für das Content-Management-System WordPress einzuschleusen, die von AccessPress entwickelt werden. Dieses Unternehmen gibt an, dass seine Erweiterungen auf über 360.000 Websites verwendet werden. Die Ergebnisse der Untersuchung des Vorfalls werden derzeit nicht veröffentlicht, doch wird angenommen, dass der schadhafte Code im Zuge einer Kompromittierung der AccessPress-Website eingebracht wurde, indem Änderungen an den angebotenen Download-Archiven für bereits veröffentlichte Versionen vorgenommen wurden. Die Hintertür ist nur im Code vorhanden, der über die offizielle Website von AccessPress verbreitet wird, während sie in denselben Versionen der Plugins, die über das WordPress.org-Verzeichnis bereitgestellt werden, nicht vorhanden ist.

Ein Sicherheitsforscher von JetPack (einer Tochtergesellschaft von Automatic, die WordPress entwickelt) hat schädliche Änderungen bei der Untersuchung eines Schadcodes entdeckt, der auf der Website eines Kunden gefunden wurde. Die Analyse ergab, dass die schädlichen Modifikationen in einem WordPress-Plugin vorhanden waren, welches von der offiziellen Website von AccessPress heruntergeladen wurde. Auch andere Plugins des gleichen Herstellers waren von schädlichen Modifikationen betroffen, die es ermöglichten, vollen Administratorzugriff auf die Website zu erhalten.

Während der Modifikation fügten die Angreifer in die Archive der Plugins und Designs die Datei 'initial.php' ein, die über die Direktive 'include' in der Datei 'functions.php' eingebunden wurde. Um die Spuren zu verwischen, war der schädliche Inhalt in der Datei 'initial.php' in Form eines Datenblocks in Base64-Codierung getarnt. Der schädliche Code, der als Anforderung zum Laden eines Bildes von der Website wp-theme-connect.com getarnt war, lud den Backdoor-Code direkt in die Datei wp-includes/vars.php.

Backdoor in 93 Plugins und Themes von AccessPress, die auf 360.000 Websites verwendet werden
Backdoor in 93 Plugins und Themes von AccessPress, die auf 360.000 Websites verwendet werden

Die ersten Websites, die schädliche Änderungen in den AccessPress-Plugins aufwiesen, wurden im September 2021 entdeckt. Es wird vermutet, dass in diesem Zeitraum ein Backdoor in die Plugins eingefügt wurde. Die erste Mitteilung von AccessPress über das entdeckte Problem blieb unbeantwortet, und erst nach Intervention des WordPress.org-Teams konnte AccessPress eine Klärung erreichen. Am 15. Oktober 2021 wurden die betroffenen Backdoor-Archive von der AccessPress-Website entfernt, und am 17. Januar 2022 wurden neue Versionen der Plugins veröffentlicht.

Das Unternehmen Sucuri hat unabhängig die Websites untersucht, auf denen die betroffenen Versionen von AccessPress installiert waren, und entdeckte, dass über das Backdoor bösartige Module hochgeladen wurden, die Spam versendeten und Benutzer auf betrügerische Websites umleiteten (die Module stammten aus den Jahren 2019 und 2020). Es wird vermutet, dass die Autoren des Backdoors den Zugang zu den kompromittierten Websites verkauft haben.

Design-Themen, in denen das Einfügen eines Backdoors festgestellt wurde:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-parallax 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • agency-lite 1.1.6
  • aplite 1.0.6
  • bingle 1.0.4
  • bloger 1.2.6
  • construction-lite 1.2.5
  • doko 1.0.27
  • enlighten 1.3.5
  • fashstore 1.2.1
  • fotography 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • one-paze 2.2.8
  • parallax-blog 3.1.1574941215
  • parallaxsome 1.3.6
  • punte 1.1.2
  • revolve 1.3.1
  • ripple 1.2.0
  • scrollme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • the-launcher 1.3.2
  • the-monday 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-cosmetics 1.0.5
  • zigcy-lite 2.0.9

Plugins, in denen eine Backdoor-Substitution erkannt wurde:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-icons 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-companion 1.0.7 2
  • ap-contact-form 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-menu 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • comments-disable-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • product-slider-for-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-posts 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-floating-menu 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster