مهاجمان موفق شدند یک درب پشتی را در 40 پلاگین و 53 موضوع برای سیستم مدیریت محتوای وردپرس که توسط AccessPress توسعه داده شده است جاسازی کنند و ادعا می کند که افزونه های آن در بیش از 360 هزار سایت استفاده می شود. نتایج تجزیه و تحلیل این حادثه هنوز ارائه نشده است، اما فرض بر این است که کد مخرب در هنگام در معرض خطر قرار گرفتن وب سایت AccessPress معرفی شده است و تغییراتی را در آرشیوهای ارائه شده برای دانلود با نسخه های منتشر شده از قبل ارائه شده است، زیرا درب پشتی موجود است. فقط در کد توزیع شده از طریق وب سایت رسمی AccessPress، اما در همان نسخه های افزودنی توزیع شده از طریق فهرست WordPress.org وجود ندارد.
این تغییرات مخرب توسط محققی در JetPack (بخشی از توسعهدهنده وردپرس خودکار) هنگام بررسی کدهای مخرب یافت شده در وبسایت مشتری کشف شد. تجزیه و تحلیل وضعیت نشان داد که تغییرات مخربی در افزونه وردپرس که از وبسایت رسمی AccessPress دانلود شده است، وجود دارد. سایر افزودنیهای همان سازنده نیز در معرض تغییرات مخربی قرار گرفتند که اجازه دسترسی کامل به سایت با حقوق سرپرست را میداد.
در طول این اصلاح، مهاجمان فایل “initial.php” را با افزونه ها و مضامین به آرشیو اضافه کردند که از طریق دستور “include” در فایل “functions.php” متصل شد. برای گیج کردن مسیر، محتوای مخرب در فایل "initial.php" به عنوان یک بلوک کدگذاری شده base64 از داده استتار شد. درج مخرب، تحت عنوان به دست آوردن یک تصویر از وب سایت wp-theme-connect.com، به طور مستقیم کد درب پشتی را در فایل wp-includes/vars.php بارگذاری کرد.
اولین سایت هایی که شامل تغییرات مخرب در افزونه های AccessPress بودند، در سپتامبر 2021 شناسایی شدند. فرض بر این است که پس از آن بود که درب پشتی به افزونه ها وارد شد. اولین اطلاع رسانی به AccessPress در مورد مشکل شناسایی شده بی پاسخ ماند و AccessPress تنها پس از مشارکت تیم WordPress.org در تحقیق توانست توجهات را جلب کند. در 15 اکتبر 2021، بایگانی های تحت تأثیر درب پشتی از وب سایت AccessPress حذف شدند و نسخه های جدید افزونه ها در 17 ژانویه 2022 منتشر شدند.
Sucuri به طور جداگانه سایتهایی را که نسخههای آسیبدیده AccessPress روی آنها نصب شده بودند، بررسی کرد و وجود ماژولهای مخرب بارگیری شده از طریق یک درب پشتی را شناسایی کرد که هرزنامهها را ارسال میکرد و انتقالها را به سایتهای جعلی هدایت میکرد (ماژولها مربوط به سالهای 2019 و 2020 بودند). فرض بر این است که نویسندگان درب پشتی دسترسی به سایت های در معرض خطر را می فروختند.
مضامینی که جایگزینی درب پشتی در آنها ثبت شده است:
- accessbuddy 1.0.0
- accesspress-basic 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-parallax 4.5
- accesspress-ray 1.19.5
- accesspress-root 2.5
- accesspress-staple 1.9.1
- accesspress-store 2.4.9
- Agency-lite 1.1.6
- aplite 1.0.6
- Bingle 1.0.4
- بلاگر 1.2.6
- construction-lite 1.2.5
- doko 1.0.27
- روشن کردن 1.3.5
- fashstore 1.2.1
- عکاسی 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- تک فضایی 2.2.8
- parallax-blog 3.1.1574941215
- اختلاف منظر 1.3.6
- نقطه 1.1.2
- چرخش 1.3.1
- ریپل 1.2.0
- scrollme 2.1.0
- sportsmag 1.2.1
- storevilla 1.4.1
- swing-lite 1.1.9
- the-launcher 1.3.2
- دوشنبه 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-news 1.0.5
- zigcy-baby 1.0.6
- zigcy-cosmetics 1.0.5
- zigcy-lite 2.0.9
پلاگین هایی که در آنها جایگزینی درب پشتی شناسایی شد:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-type 1.0.8 1.0.9
- accesspress-facebook-auto-post 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-social-counter 1.9.1 1.9.2
- accesspress-social-icons 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- accesspress-social-share 4.5.5 4.5.6
- accesspress-twitter-auto-post 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-icons-lite 1.0.9
- ap-companion 1.0.7 2
- ap-contact-form 1.0.6 1.0.7
- ap-custom-testimonial 1.4.6 1.4.7
- ap-mega-menu 3.0.5 3.0.6
- ap-pricing-tables-lite 1.1.2 1.1.3
- apex-notification-bar-lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- comments-disable-accesspress 1.0.7 1.0.8
- easy-side-tab-cta 1.0.7 1.0.8
- everest-admin-theme-lite 1.0.7 1.0.8
- everest-coming-soon-lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- everest-counter-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-gallery-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-review-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inline-call-to-action-builder-lite 1.1.0 1.1.1
- product-slider-for-woocommerce-lite 1.1.5 1.1.6
- smart-logo-showcase-lite 1.1.7 1.1.8
- smart-scroll-posts 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- total-team-lite 1.1.1 1.1.2
- ultimate-author-box-lite 1.1.2 1.1.3
- ultimate-form-builder-lite 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-slider 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-cookie-user-info 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- wp-floating-menu 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-popup-banners 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-gallery-lite 1.1.1
منبع: opennet.ru