ProHoster > Blog > Interneteko albisteak > Backdoor 93 mila gunetan erabilitako 360 AccessPress plugin eta gaietan

Backdoor 93 mila gunetan erabilitako 360 AccessPress plugin eta gaietan

Erasotzaileek AccessPress-ek garatutako WordPress edukiak kudeatzeko sistemarako 40 plugin eta 53 gaitan atzeko atea txertatzea lortu zuten, bere gehigarriak 360 mila gune baino gehiagotan erabiltzen direla dioena. Gertaeraren analisiaren emaitzak oraindik ez dira eman, baina uste da kode gaiztoa AccessPress webgunearen konpromisoan sartu zela, dagoeneko kaleratutako bertsioekin deskargatzeko eskaintzen diren artxiboetan aldaketak eginez, atzeko atea dagoenez. AccessPress webgune ofizialaren bidez banatzen den kodean bakarrik, baina WordPress.org direktorioaren bidez banatutako gehigarrien bertsio berdinetan ez dago.

Aldaketa gaiztoak JetPack-eko ikertzaile batek (WordPress garatzaile Automatikoaren dibisioa) aurkitu zituen bezero baten webgunean aurkitutako kode gaiztoa aztertzen ari zela. Egoeraren azterketak erakutsi zuen AccessPress webgune ofizialetik deskargatutako WordPress gehigarrian aldaketa gaiztoak zeudela. Fabrikatzaile bereko beste gehigarri batzuk ere aldaketa gaiztoak jasan zituzten, gunera administratzaile-eskubideekin sarbide osoa ahalbidetzen zutenak.

Aldaketa egin bitartean, erasotzaileek "initial.php" fitxategia gehitu zuten pluginekin eta gaiekin artxiboetara, "functions.php" fitxategiko "include" direktiba bidez konektatua zegoena. Arrastoa nahasteko, "initial.php" fitxategiko eduki gaiztoa base64 kodetutako datu-bloke gisa kamuflatu zen. Txertaketa gaiztoak, wp-theme-connect.com webgunetik irudi bat lortzeko moduan, zuzenean atzeko atzeko kodea kargatu zuen wp-includes/vars.php fitxategian.

Backdoor 93 mila gunetan erabilitako 360 AccessPress plugin eta gaietan
Backdoor 93 mila gunetan erabilitako 360 AccessPress plugin eta gaietan

AccessPress gehigarrietan aldaketa gaiztoak sartu zituzten lehen guneak 2021eko irailean identifikatu ziren. Suposatzen da orduan sartu zela atzeko atea gehigarrietan. Identifikatutako arazoari buruzko AccessPress-i egindako lehen jakinarazpenak erantzunik gabe geratu zen, eta AccessPress-ek WordPress.org taldea ikerketan parte hartu ondoren soilik lortu zuen arreta. 15eko urriaren 2021ean, atzeko ateak eragindako artxiboak AccessPress webgunetik kendu ziren, eta gehigarrien bertsio berriak 17ko urtarrilaren 2022an kaleratu ziren.

Sucuri-k bereizita aztertu zituen kaltetutako AccessPress-en bertsioak instalatuta zeuden guneak eta atzealdeko ate baten bidez kargatutako modulu gaiztoen presentzia identifikatu zuen, spam-a bidaltzen zuen eta iruzurrezko guneetara trantsizioak birbideratzen zituzten (moduluak 2019 eta 2020 urtekoak ziren). Suposatzen da atzeko atearen egileek gune arriskutsuetarako sarbidea saltzen zutela.

Atzeko atearen ordezkapena grabatzen duten gaiak:

  • accessbuddy 1.0.0
  • accesspress-oinarrizko 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-parallax 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • agentzia-lite 1.1.6
  • aplite 1.0.6
  • bingle 1.0.4
  • blogaria 1.2.6
  • eraikuntza-lite 1.2.5
  • doko 1.0.27
  • argitu 1.3.5
  • moda-denda 1.2.1
  • argazkilaritza 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • espazio bakarreko 2.2.8
  • parallax-blog 3.1.1574941215
  • paralajosoma 1.3.6
  • punte 1.1.2
  • biraka 1.3.1
  • uhina 1.2.0
  • scrollme 2.1.0
  • kirola 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • abiarazlea 1.3.2
  • astelehena 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-kosmetika 1.0.5
  • zigcy-lite 2.0.9

Atzeko atearen ordezkapena detektatu duten pluginak:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-ikonos 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-companion 1.0.7 2
  • ap-harremanetarako-inprimakia 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-menu 3.0.5 3.0.6
  • ap-prezio-taulak-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • iruzkinak-desgaitu-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-iruzkin-balorazioa-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-galeria-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • product-slider-for-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-posts 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • azken-egile-kutxa-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-floating-menu 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Iturria: opennet.ru

Gehitu iruzkin berria