ProHoster > وبلاگ > اخبار اینترنتی > Backdoor در 93 افزونه AccessPress و تم های مورد استفاده در 360 هزار سایت

Backdoor در 93 افزونه AccessPress و تم های مورد استفاده در 360 هزار سایت

مهاجمان موفق شدند یک درب پشتی را در 40 پلاگین و 53 موضوع برای سیستم مدیریت محتوای وردپرس که توسط AccessPress توسعه داده شده است جاسازی کنند و ادعا می کند که افزونه های آن در بیش از 360 هزار سایت استفاده می شود. نتایج تجزیه و تحلیل این حادثه هنوز ارائه نشده است، اما فرض بر این است که کد مخرب در هنگام در معرض خطر قرار گرفتن وب سایت AccessPress معرفی شده است و تغییراتی را در آرشیوهای ارائه شده برای دانلود با نسخه های منتشر شده از قبل ارائه شده است، زیرا درب پشتی موجود است. فقط در کد توزیع شده از طریق وب سایت رسمی AccessPress، اما در همان نسخه های افزودنی توزیع شده از طریق فهرست WordPress.org وجود ندارد.

این تغییرات مخرب توسط محققی در JetPack (بخشی از توسعه‌دهنده وردپرس خودکار) هنگام بررسی کدهای مخرب یافت شده در وب‌سایت مشتری کشف شد. تجزیه و تحلیل وضعیت نشان داد که تغییرات مخربی در افزونه وردپرس که از وب‌سایت رسمی AccessPress دانلود شده است، وجود دارد. سایر افزودنی‌های همان سازنده نیز در معرض تغییرات مخربی قرار گرفتند که اجازه دسترسی کامل به سایت با حقوق سرپرست را می‌داد.

در طول این اصلاح، مهاجمان فایل “initial.php” را با افزونه ها و مضامین به آرشیو اضافه کردند که از طریق دستور “include” در فایل “functions.php” متصل شد. برای گیج کردن مسیر، محتوای مخرب در فایل "initial.php" به عنوان یک بلوک کدگذاری شده base64 از داده استتار شد. درج مخرب، تحت عنوان به دست آوردن یک تصویر از وب سایت wp-theme-connect.com، به طور مستقیم کد درب پشتی را در فایل wp-includes/vars.php بارگذاری کرد.

Backdoor در 93 افزونه AccessPress و تم های مورد استفاده در 360 هزار سایت
Backdoor در 93 افزونه AccessPress و تم های مورد استفاده در 360 هزار سایت

اولین سایت هایی که شامل تغییرات مخرب در افزونه های AccessPress بودند، در سپتامبر 2021 شناسایی شدند. فرض بر این است که پس از آن بود که درب پشتی به افزونه ها وارد شد. اولین اطلاع رسانی به AccessPress در مورد مشکل شناسایی شده بی پاسخ ماند و AccessPress تنها پس از مشارکت تیم WordPress.org در تحقیق توانست توجهات را جلب کند. در 15 اکتبر 2021، بایگانی های تحت تأثیر درب پشتی از وب سایت AccessPress حذف شدند و نسخه های جدید افزونه ها در 17 ژانویه 2022 منتشر شدند.

Sucuri به طور جداگانه سایت‌هایی را که نسخه‌های آسیب‌دیده AccessPress روی آن‌ها نصب شده بودند، بررسی کرد و وجود ماژول‌های مخرب بارگیری شده از طریق یک درب پشتی را شناسایی کرد که هرزنامه‌ها را ارسال می‌کرد و انتقال‌ها را به سایت‌های جعلی هدایت می‌کرد (ماژول‌ها مربوط به سال‌های 2019 و 2020 بودند). فرض بر این است که نویسندگان درب پشتی دسترسی به سایت های در معرض خطر را می فروختند.

مضامینی که جایگزینی درب پشتی در آنها ثبت شده است:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-parallax 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • Agency-lite 1.1.6
  • aplite 1.0.6
  • Bingle 1.0.4
  • بلاگر 1.2.6
  • construction-lite 1.2.5
  • doko 1.0.27
  • روشن کردن 1.3.5
  • fashstore 1.2.1
  • عکاسی 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • تک فضایی 2.2.8
  • parallax-blog 3.1.1574941215
  • اختلاف منظر 1.3.6
  • نقطه 1.1.2
  • چرخش 1.3.1
  • ریپل 1.2.0
  • scrollme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • the-launcher 1.3.2
  • دوشنبه 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-cosmetics 1.0.5
  • zigcy-lite 2.0.9

پلاگین هایی که در آنها جایگزینی درب پشتی شناسایی شد:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-icons 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-companion 1.0.7 2
  • ap-contact-form 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-menu 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • comments-disable-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • product-slider-for-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-posts 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-floating-menu 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

منبع: opennet.ru

اضافه کردن نظر