ProHoster > Blogi > internetiuudised > Backdoor 93 AccessPressi pistikprogrammis ja teemas, mida kasutatakse 360 ​​tuhandel saidil

Backdoor 93 AccessPressi pistikprogrammis ja teemas, mida kasutatakse 360 ​​tuhandel saidil

Ründajatel õnnestus manustada tagauks 40 pistikprogrammi ja 53 teemasse WordPressi sisuhaldussüsteemi jaoks, mille on välja töötanud AccessPress, mis väidab, et selle lisandmooduleid kasutatakse enam kui 360 tuhandel saidil. Juhtunu analüüsi tulemusi pole veel esitatud, kuid oletatakse, et pahatahtlik kood sisestati AccessPressi veebisaidi kompromiteerimise käigus, tehes muudatusi juba välja antud versioonidega allalaadimiseks pakutavates arhiivides, kuna tagauks on olemas ainult ametliku AccessPressi veebisaidi kaudu levitatavas koodis, kuid see puudub nendes samades lisandmoodulite väljaannetes, mida levitatakse kataloogi WordPress.org kaudu.

Pahatahtlikud muudatused avastas JetPacki (WordPressi arendaja Automaticu osakond) teadlane, uurides kliendi veebisaidilt leitud pahatahtlikku koodi. Olukorra analüüs näitas, et ametlikult AccessPressi veebisaidilt alla laaditud WordPressi lisandmoodulis olid pahatahtlikud muudatused. Pahatahtlikke muudatusi tehti ka teiste sama tootja lisandmoodulitega, mis võimaldasid saidile administraatoriõigustega täielikku juurdepääsu.

Muudatuse käigus lisasid ründajad arhiivi koos pluginate ja teemadega faili “initial.php”, mis ühendati faili “functions.php” käskkirja “include” kaudu. Jälje segamiseks maskeeriti pahatahtlik sisu failis "initial.php" base64 kodeeritud andmeplokina. Pahatahtlik sisestus laadis veebisaidilt wp-theme-connect.com pildi hankimise varjus tagaukse koodi otse faili wp-includes/vars.php.

Backdoor 93 AccessPressi pistikprogrammis ja teemas, mida kasutatakse 360 ​​tuhandel saidil
Backdoor 93 AccessPressi pistikprogrammis ja teemas, mida kasutatakse 360 ​​tuhandel saidil

Esimesed saidid, mis sisaldasid AccessPressi lisandmoodulite pahatahtlikke muudatusi, tuvastati 2021. aasta septembris. Eeldatakse, et just siis lisati lisandmoodulitesse tagauks. Esimene teade AccessPressile tuvastatud probleemi kohta jäi vastuseta ja AccessPress suutis tähelepanu tõmmata alles pärast WordPress.org meeskonna kaasamist uurimisse. 15. oktoobril 2021 eemaldati AccessPressi veebisaidilt tagauksest mõjutatud arhiivid ja 17. jaanuaril 2022 avaldati lisandmoodulite uued versioonid.

Sucuri uuris eraldi saite, kuhu olid installitud AccessPressi mõjutatud versioonid, ja tuvastas tagaukse kaudu laaditud pahatahtlike moodulite olemasolu, mis saatsid rämpsposti ja suunasid viiteid petturlikele saitidele (moodulite kuupäevad olid 2019 ja 2020). Eeldatakse, et tagaukse autorid müüsid juurdepääsu ohustatud saitidele.

Teemad, milles tagaukse asendus salvestatakse:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-parallax 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • Agency-lite 1.1.6
  • aplite 1.0.6
  • ühekordne 1.0.4
  • blogija 1.2.6
  • ehitus-lite 1.2.5
  • doko 1.0.27
  • valgustama 1.3.5
  • fashstore 1.2.1
  • fotograafia 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • ühekohaline 2.2.8
  • parallaks-blogi 3.1.1574941215
  • parallaksoom 1.3.6
  • punte 1.1.2
  • tiirlema ​​1.3.1
  • pulsatsioon 1.2.0
  • scrollme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • kanderakett 1.3.2
  • esmaspäev 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-beebi 1.0.6
  • zigcy-kosmeetika 1.0.5
  • zigcy-lite 2.0.9

Pluginad, milles tuvastati tagaukse asendus:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-icons 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-kaaslane 1.0.7 2
  • ap-kontakt-vorm 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-menüü 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • kommentaarid-keela-juurdepääs 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • product-slider-for-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-postitused 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-liugur 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-kasutaja-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-ujuv-menüü 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Allikas: opennet.ru

Lisa kommentaar