AccessPressi 93 plugina ja kujunduseemaga seonduv tagaukse probleem, mida kasutatakse 360 000 saidil

Ründajad suutsid paigaldada tagaukse 40 pistikprogrammi ja 53 kujunduseemaldise jaoks, mida arendab firma AccessPress, kes väidab, et nende laiendusi kasutatakse rohkem kui 360 000 saidil. Juhtumi analüüsi tulemusi pole veel esitatud, kuid eeldatakse, et kahjulik kood saadi sisse lastud AccessPressi saidi kompromiteerimise käigus, muutes allalaadimiste jaoks ette nähtud arhiive, kuna tagauks on olemas ainult koodis, mida levitatakse AccessPressi ametlikul veebisaidil, kuid puudub samade versioonide seas, mida levitatakse WordPress.org kataloogis.

JetPacki (Automaticu kuuluv WordPressi arendav ettevõte) uurija tuvastas kahjulikke muudatusi, uurides pahavara, mis leiti ühe kliendi veebisaidilt. Situatsiooni analüüs näitas, et kahjulikud muudatused olid WordPressi lisandmoodulis, mis oli laaditud ametlikult AccessPressi veebisaidilt. Samuti olid teised sama tootja lisandmoodulid saanud kahjulike modifikatsioonide osaliseks, mis võimaldavad saada täielikku juurdepääsu veebisaidile administraatori õigustega.

Muudatuste käigus lisasid ründajad pluginate ja teemade arhiividele faili "initial.php", mis oli ühendatud "include" direktiivi kaudu failis "functions.php". Jälgede segamiseks oli kahjuliku sisu failis "initial.php" kamufleeritud base64 koodimise andmeplokina. Kahjulik tõuge, mis nägi välja nagu pildi laadimine veebisaidilt wp-theme-connect.com, laadis faili wp-includes/vars.php otse bækkeri koodi.

AccessPressi 93 plugina ja kujunduseemaga seonduv tagaukse probleem, mida kasutatakse 360 000 saidil
AccessPressi 93 plugina ja kujunduseemaga seonduv tagaukse probleem, mida kasutatakse 360 000 saidil

Esimesed veebisaidid, mis sisaldasid pahatahtlikke muudatusi AccessPressi lisades, leiti septembris 2021. Arvatakse, et just siis pandi lisadesse tagauks. AccessPressi esimene teade avastatud probleemist jäi vastuseta, ning tähelepanu sai aga ainult pärast WordPress.orgi meeskonna kaasamist. 15. oktoobril 2021 eemaldati nakatunud tagaugsega arhiivid AccessPressi veebisaidilt ja 17. jaanuaril 2022 ilmusid uued versioonid lisadest.

Ettevõte Sucuri uuris eraldi veebisaite, millel olid paigaldatud nakatunud AccessPressi versioonid, ja leidis, et bäkdooriga on üles laaditud pahatahtlikke mooduleid, mis saatsid rämpsposti ning suunasid külastusi petusaitidele (moodulid olid dateeritud 2019. ja 2020. aastaga). Eeldatakse, et bäkdoori autorid müüsid ligipääsu kompromiteeritud veebilehtedele.

Kujundusteemad, milles on fikseeritud tagaukse sisestamine:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-parallax 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • agency-lite 1.1.6
  • aplite 1.0.6
  • bingle 1.0.4
  • bloger 1.2.6
  • construction-lite 1.2.5
  • doko 1.0.27
  • enlighten 1.3.5
  • fashstore 1.2.1
  • fotography 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • one-paze 2.2.8
  • parallax-blog 3.1.1574941215
  • parallaxsome 1.3.6
  • punte 1.1.2
  • revolve 1.3.1
  • ripple 1.2.0
  • scrollme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • the-launcher 1.3.2
  • the-monday 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-cosmetics 1.0.5
  • zigcy-lite 2.0.9

Plugins, where a backdoor substitution was discovered:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-icons 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-companion 1.0.7 2
  • ap-contact-form 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-menu 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • comments-disable-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • product-slider-for-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-posts 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-floating-menu 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Allikas: opennet.ru

Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster