Los atacantes lograron insertar una puerta trasera en 40 complementos y 53 temas para el sistema de gestión de contenidos WordPress, desarrollado por AccessPress, que afirma que sus complementos se utilizan en más de 360 sitios. Los resultados del análisis del incidente aún no se han proporcionado, pero se supone que el código malicioso se introdujo durante el ataque al sitio web de AccessPress, realizando cambios en los archivos ofrecidos para descargar con versiones ya publicadas, ya que la puerta trasera está presente. solo en el código distribuido a través del sitio web oficial de AccessPress, pero está ausente en las mismas versiones de complementos distribuidos a través del directorio WordPress.org.
Los cambios maliciosos fueron descubiertos por un investigador de JetPack (una división del desarrollador de WordPress Automatic) mientras examinaba el código malicioso encontrado en el sitio web de un cliente. Un análisis de la situación mostró que había cambios maliciosos en el complemento de WordPress descargado del sitio web oficial de AccessPress. Otros complementos del mismo fabricante también sufrieron modificaciones maliciosas que permitieron el acceso completo al sitio con derechos de administrador.
Durante la modificación, los atacantes agregaron el archivo "initial.php" a los archivos con complementos y temas, que estaba conectado mediante la directiva "include" en el archivo "functions.php". Para confundir el rastro, el contenido malicioso en el archivo “initial.php” se camufló como un bloque de datos codificado en base64. La inserción maliciosa, con el pretexto de obtener una imagen del sitio web wp-theme-connect.com, cargó directamente el código de puerta trasera en el archivo wp-includes/vars.php.
Los primeros sitios que incluyeron cambios maliciosos en los complementos de AccessPress se identificaron en septiembre de 2021. Se supone que fue entonces cuando se insertó la puerta trasera en los complementos. La primera notificación a AccessPress sobre el problema identificado quedó sin respuesta, y AccessPress sólo pudo llamar la atención después de involucrar al equipo de WordPress.org en la investigación. El 15 de octubre de 2021, los archivos afectados por la puerta trasera se eliminaron del sitio web de AccessPress y el 17 de enero de 2022 se lanzaron nuevas versiones de los complementos.
Sucuri examinó por separado los sitios en los que se instalaron las versiones afectadas de AccessPress e identificó la presencia de módulos maliciosos cargados a través de una puerta trasera que enviaba spam y redirigía transiciones a sitios fraudulentos (los módulos tenían fecha de 2019 y 2020). Se supone que los autores de la puerta trasera vendían acceso a sitios comprometidos.
Temas en los que se registra la sustitución de puerta trasera:
- amigo de acceso 1.0.0
- accesopress-basic 3.2.1
- accesopress-lite 2.92
- accesopress-mag 2.6.5
- accesopress-paralaje 4.5
- accesopress-ray 1.19.5
- accesopress-root 2.5
- accesopress-staple 1.9.1
- accesopress-store 2.4.9
- agencia-lite 1.1.6
- aplite 1.0.6
- bingle 1.0.4
- blogger 1.2.6
- construcción ligera 1.2.5
- doko 1.0.27
- iluminar 1.3.5
- tienda flash 1.2.1
- fotografía 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- un espacio 2.2.8
- blog de paralaje 3.1.1574941215
- paralaje 1.3.6
- punta 1.1.2
- girar 1.3.1
- ondulación 1.2.0
- desplázame 2.1.0
- revista deportiva 1.2.1
- tiendavilla 1.4.1
- swing-lite 1.1.9
- el lanzador 1.3.2
- el lunes 1.4.1
- uncode-lite 1.3.1
- Unicon Lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-noticias 1.0.5
- zigcy-bebé 1.0.6
- cosméticos-zigcy 1.0.5
- zigcy-lite 2.0.9
Complementos en los que se detectó sustitución de puerta trasera:
- accesopress-publicación-anónima 2.8.0 2.8.1 1
- accesopress-css personalizado 2.0.1 2.0.2
- accesspress-tipo-de-post-personalizado 1.0.8 1.0.9
- accederpress-facebook-auto-post 2.1.3 2.1.4
- accesopress-instagram-feed 4.0.3 4.0.4
- accederpress-pinterest 3.3.3 3.3.4
- accesopress-social-contador 1.9.1 1.9.2
- accesopress-iconos-sociales 1.8.2 1.8.3
- accesopress-social-login-lite 3.4.7 3.4.8
- accesopress-social-share 4.5.5 4.5.6
- accesopress-twitter-auto-post 1.4.5 1.4.6
- accesopress-twitter-feed 1.6.7 1.6.8
- ak-menu-iconos-lite 1.0.9
- ap-compañero 1.0.7 2
- ap-formulario de contacto 1.0.6 1.0.7
- ap-testimonio-personalizado 1.4.6 1.4.7
- ap-mega-menú 3.0.5 3.0.6
- ap-tablas-de-precios-lite 1.1.2 1.1.3
- barra-de-notificación-apex-lite 2.0.4 2.0.5
- cf7-store-a-db-lite 1.0.9 1.1.0
- comentarios-deshabilitar-accesopress 1.0.7 1.0.8
- pestaña lateral fácil-cta 1.0.7 1.0.8
- everest-admin-tema-lite 1.0.7 1.0.8
- everest-próximamente-lite 1.1.0 1.1.1
- everest-comentario-calificación-lite 2.0.4 2.0.5
- everest-contra-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- galería-everest-lite 1.0.8 1.0.9
- everest-google-places-reseñas-lite 1.0.9 2.0.0
- everest-revisión-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- línea de tiempo-everest-lite 1.1.1 1.1.2
- constructor-de-llamado-a-la-acción-en-línea-lite 1.1.0 1.1.1
- control deslizante de producto para woocommerce-lite 1.1.5 1.1.6
- escaparate-logo-inteligente-lite 1.1.7 1.1.8
- publicaciones de desplazamiento inteligente 2.0.8 2.0.9
- desplazamiento inteligente hacia arriba lite 1.0.3 1.0.4
- total-gdpr-cumplimiento-lite 1.0.4
- equipo-lite-total 1.1.1 1.1.2
- último-autor-box-lite 1.1.2 1.1.3
- constructor-de-formularios-lite 1.5.0 1.5.1
- woo-insignia-diseñador-lite 1.1.0 1.1.1
- wp-1-control deslizante 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comentario-designer-lite 2.0.3 2.0.4
- wp-cookie-información-de-usuario 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- botón-wp-fb-messenger-lite 2.0.7
- wp-menú flotante 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-popup-banners 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-galería-de-productos-lite 1.1.1
Fuente: opennet.ru