Den Angreifern gelang es, eine Hintertür in 40 Plugins und 53 Themes für das von AccessPress entwickelte WordPress-Content-Management-System einzubetten, dessen Add-ons nach eigenen Angaben auf mehr als 360 Websites verwendet werden. Die Ergebnisse der Analyse des Vorfalls liegen noch nicht vor, es wird jedoch angenommen, dass der Schadcode bei der Kompromittierung der AccessPress-Website eingeschleust wurde und Änderungen an den zum Download angebotenen Archiven mit bereits veröffentlichten Versionen vorgenommen hat, da die Hintertür vorhanden ist nur im Code, der über die offizielle AccessPress-Website verbreitet wird, fehlt jedoch in denselben Versionen von Add-ons, die über das WordPress.org-Verzeichnis vertrieben werden.
Die bösartigen Änderungen wurden von einem Forscher bei JetPack (einer Abteilung des WordPress-Entwicklers Automatic) entdeckt, als er bösartigen Code untersuchte, der auf der Website eines Kunden gefunden wurde. Eine Analyse der Situation ergab, dass in dem von der offiziellen AccessPress-Website heruntergeladenen WordPress-Add-on böswillige Änderungen vorhanden waren. Auch andere Add-ons desselben Herstellers waren Opfer böswilliger Modifikationen, die den vollständigen Zugriff auf die Website mit Administratorrechten ermöglichten.
Bei der Modifikation fügten die Angreifer den Archiven mit Plugins und Themes die Datei „initial.php“ hinzu, die über die Direktive „include“ in der Datei „functions.php“ angebunden wurde. Um die Spur zu verwirren, wurde der schädliche Inhalt in der Datei „initial.php“ als Base64-codierter Datenblock getarnt. Unter dem Vorwand, ein Bild von der Website wp-theme-connect.com zu erhalten, lud die böswillige Einfügung den Backdoor-Code direkt in die Datei wp-includes/vars.php.
Die ersten Websites, die böswillige Änderungen an AccessPress-Add-ons enthielten, wurden im September 2021 identifiziert. Man geht davon aus, dass damals die Hintertür in die Add-ons eingefügt wurde. Die erste Benachrichtigung an AccessPress über das identifizierte Problem blieb unbeantwortet und AccessPress konnte erst Aufmerksamkeit erregen, nachdem das WordPress.org-Team in die Untersuchung einbezogen wurde. Am 15. Oktober 2021 wurden die von der Hintertür betroffenen Archive von der AccessPress-Website entfernt und am 17. Januar 2022 wurden neue Versionen der Add-ons veröffentlicht.
Sucuri untersuchte separat Websites, auf denen betroffene Versionen von AccessPress installiert waren, und stellte fest, dass über eine Hintertür schädliche Module geladen wurden, die Spam versendeten und Übergänge zu betrügerischen Websites umleiteten (die Module stammten aus den Jahren 2019 und 2020). Es wird davon ausgegangen, dass die Autoren der Hintertür Zugang zu kompromittierten Websites verkauft haben.
Themen, in denen die Backdoor-Substitution erfasst wird:
- accessbuddy 1.0.0
- accesspress-basic 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-parallax 4.5
- accesspress-ray 1.19.5
- accesspress-root 2.5
- accesspress-staple 1.9.1
- accesspress-store 2.4.9
- Agentur-Lite 1.1.6
- aplite 1.0.6
- Bingle 1.0.4
- Blogger 1.2.6
- Construction-Lite 1.2.5
- Doko 1.0.27
- aufklären 1.3.5
- Modestore 1.2.1
- Fotografie 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- einzeilig 2.2.8
- Parallaxen-Blog 3.1.1574941215
- Parallaxe 1.3.6
- Punkt 1.1.2
- drehen 1.3.1
- Welligkeit 1.2.0
- scrollme 2.1.0
- Sportsmag 1.2.1
- Storevilla 1.4.1
- Swing-Lite 1.1.9
- the-launcher 1.3.2
- der-montag 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-news 1.0.5
- zigcy-baby 1.0.6
- Zigcy-Kosmetik 1.0.5
- zigcy-lite 2.0.9
Plugins, bei denen eine Backdoor-Ersetzung erkannt wurde:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-type 1.0.8 1.0.9
- accesspress-facebook-auto-post 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-social-counter 1.9.1 1.9.2
- accesspress-social-icons 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- accesspress-social-share 4.5.5 4.5.6
- accesspress-twitter-auto-post 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-icons-lite 1.0.9
- ap-companion 1.0.7 2
- ap-Kontaktformular 1.0.6 1.0.7
- ap-custom-testimonial 1.4.6 1.4.7
- ap-mega-menü 3.0.5 3.0.6
- ap-pricing-tables-lite 1.1.2 1.1.3
- Apex-Benachrichtigung-Bar-Lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- comments-disable-accesspress 1.0.7 1.0.8
- easy-side-tab-cta 1.0.7 1.0.8
- everest-admin-theme-lite 1.0.7 1.0.8
- everest-coming-soon-lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- Everest-Counter-Lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-gallery-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-review-lite 1.0.7
- Everest-Tab-Lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inline-call-to-action-builder-lite 1.1.0 1.1.1
- Produkt-Slider-für-Woocommerce-Lite 1.1.5 1.1.6
- smart-logo-showcase-lite 1.1.7 1.1.8
- Smart-Scroll-Beiträge 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- total-team-lite 1.1.1 1.1.2
- Ultimate-Author-Box-Lite 1.1.2 1.1.3
- Ultimate-Form-Builder-Lite 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-slider 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-cookie-benutzerinfo 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- wp-floating-menu 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-popup-banner 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-gallery-lite 1.1.1
Source: opennet.ru