Backdoor 93 AccessPress-laajennuksessa ja teemassa, joita käytetään 360 XNUMX sivustolla

Hyökkääjät onnistuivat upottamaan takaoven 40 sisällönhallintajärjestelmän lisäosaan ja 53 teemaan. WordPress, jonka on kehittänyt AccessPress, joka väittää sen lisäosien olevan käytössä yli 360 000 verkkosivustolla. Tapauksen tutkinnan tuloksia ei ole vielä julkaistu, mutta uskotaan, että haitallinen koodi lisättiin AccessPress-verkkosivuston murron yhteydessä, ja se muutti aiemmin julkaistujen versioiden ladattavia arkistoja. Takaovi on läsnä vain virallisen AccessPress-verkkosivuston kautta jaetussa koodissa, mutta se puuttuu samoista lisäosajulkaisuista, jotka jaetaan luettelon kautta. WordPress. Org.

JetPackin (Automaticin, ohjelmistoja kehittävän yrityksen, osasto) tutkija havaitsi haitallisten muutosten olemassaolon. WordPress) yhden asiakkaan verkkosivustolta löydetyn haitallisen koodin tutkinnan aikana. Tilanteen analyysi osoitti, että sivustolla oli haitallisia muutoksia. WordPress- AccessPressin viralliselta verkkosivustolta ladattu lisäosa. Myös muiden saman toimittajan lisäosien havaittiin olevan alttiita haitallisille muutoksille, mikä mahdollisti täyden pääsyn sivustolle järjestelmänvalvojan oikeuksilla.

Muokkauksen aikana hyökkääjät lisäsivät plugin- ja teema-arkistoon tiedoston "initial.php", jonka he sisällyttivät tiedostoon "functions.php"-tiedoston "include"-käskyn kautta. Jälkien peittämiseksi tiedoston "initial.php" haitallinen sisältö naamioitiin base64-koodatuksi tietolohkoksi. Haitallinen lisäys, joka oli naamioitu wp-theme-connect.com-sivuston kuvaksi, latasi takaporttikoodin suoraan tiedostoon wp-includes/vars.php.

Ensimmäiset verkkosivustot, jotka sisällyttivät haitallisia muutoksia AccessPress-lisäosiin, löydettiin syyskuussa 2021. Uskotaan, että tuolloin lisäosiin lisättiin takaovi. AccessPressin alkuperäiseen ilmoitukseen ongelmasta ei vastattu, ja AccessPress sai huomiota vasta palkattuaan tiimin tutkimaan asiaa. WordPress.org. Takaportilla suojatut arkistot poistettiin AccessPressin verkkosivustolta 15. lokakuuta 2021, ja lisäosien uudet versiot julkaistiin 17. tammikuuta 2022.

Sucuri tutki erikseen verkkosivustoja, joilla oli asennettuna AccessPressin vaarantuneita versioita, ja löysi haitallisia moduuleja, jotka oli ladattu takaoven kautta, joka lähetti roskapostia ja ohjasi liikennettä huijaussivustoille (moduulit olivat päivättyjä vuosilta 2019 ja 2020). Takaoven tekijöiden uskotaan myyneen pääsyä vaarantuneille verkkosivustoille.

Teemat, joissa on havaittu takaoven korvaamista:

• accessbuddy 1.0.0
• accesspress-basic 3.2.1
• accesspress-lite 2.92
• accesspress-mag 2.6.5
• accesspress-parallax 4.5
• accesspress-ray 1.19.5
• accesspress-root 2.5
• accesspress-nidonta 1.9.1
• accesspress-kauppa 2.4.9
• agency-lite 1.1.6
• aplite 1.0.6
• bingle 1.0.4
• bloggaaja 1.2.6
• construction-lite 1.2.5
• doko 1.0.27
• valaista 1.3.5
• muotikauppa 1.2.1
• valokuvaus 2.4.0
• gaga-corp 1.0.8
• gaga-lite 1.4.2
• yhden askeleen 2.2.8
• parallax-blogi 3.1.1574941215
• parallaksomi 1.3.6
• piste 1.1.2
• Pyörivä 1.3.1
• Ripple 1.2.0
• scrollme 2.1.0
• urheilulehti 1.2.1
• Storevilla 1.4.1
• swing-lite 1.1.9
• the-launcher 1.3.2
• maanantai 1.4.1
• uncode-lite 1.3.1
• unicon-lite 1.2.6
• vmag 1.2.7
• vmagazine-lite 1.3.5
• vmagazine-news 1.0.5
• zigcy-baby 1.0.6
• zigcy-kosmetiikka 1.0.5
• zigcy-lite 2.0.9

Liitännäiset, joissa havaittiin takaportin korvaaminen:

• accesspress-anonymous-post 2.8.0 2.8.1 1
• accesspress-custom-css 2.0.1 2.0.2
• accesspress-mukautettu-postityyppi 1.0.8 1.0.9
• accesspress-facebook-automaattinen-julkaisu 2.1.3 2.1.4
• accesspress-instagram-syöte 4.0.3 4.0.4
• accesspress-pinterest 3.3.3 3.3.4
• accesspress-sosiaalinen-laskuri 1.9.1 1.9.2
• accesspress-social-icons 1.8.2 1.8.3
• accesspress-social-login-lite 3.4.7 3.4.8
• accesspress-sosiaalinen-jako 4.5.5 4.5.6
• accesspress-twitter-auto-post 1.4.5 1.4.6
• accesspress-twitter-syöte 1.6.7 1.6.8
• ak-menu-icons-lite 1.0.9
• ap-kumppani 1.0.7 2
• ap-yhteydenottolomake 1.0.6 1.0.7
• ap-custom-testimonial 1.4.6 1.4.7
• ap-mega-menu 3.0.5 3.0.6
• ap-hinnoittelutaulukot-lite 1.1.2 1.1.3
• apex-notification-bar-lite 2.0.4 2.0.5
• cf7-store-to-db-lite 1.0.9 1.1.0
• kommentit-estää-pääsyn-painatus 1.0.7 1.0.8
• helppo sivuvälilehti toimintakehotus 1.0.7 1.0.8
• everest-admin-teema-lite 1.0.7 1.0.8
• everest-coming-pian-lite 1.1.0 1.1.1
• everest-comment-rating-lite 2.0.4 2.0.5
• everest-counter-lite 2.0.7 2.0.8
• everest-faq-manager-lite 1.0.8 1.0.9
• everest-gallery-lite 1.0.8 1.0.9
• everest-google-places-reviews-lite 1.0.9 2.0.0
• everest-review-lite 1.0.7
• everest-tab-lite 2.0.3 2.0.4
• everest-timeline-lite 1.1.1 1.1.2
• inline-ction-builder-lite 1.1.0 1.1.1
• tuote-slider-for-woocommerce-lite 1.1.5 1.1.6
• smart-logo-showcase-lite 1.1.7 1.1.8
• älykkäät vieritysviestit 2.0.8 2.0.9
• smart-scroll-to-top-lite 1.0.3 1.0.4
• total-gdpr-compliance-lite 1.0.4
• total-team-lite 1.1.1 1.1.2
• ultimate-author-box-lite 1.1.2 1.1.3
• ultimate-form-builder-lite 1.5.0 1.5.1
• woo-badge-designer-lite 1.1.0 1.1.1
• wp-1-liukusäädin 1.2.9 1.3.0
• wp-blog-manager-lite 1.1.0 1.1.2
• wp-comment-designer-lite 2.0.3 2.0.4
• wp-cookie-user-info 1.0.7 1.0.8
• wp-facebook-review-showcase-lite 1.0.9
• wp-fb-messenger-button-lite 2.0.7
• wp-kelluva-valikko 1.4.4 1.4.5
• wp-media-manager-lite 1.1.2 1.1.3
• wp-ponnahdusikkunabannerit 1.2.3 1.2.4
• wp-popup-lite 1.0.8
• wp-product-gallery-lite 1.1.1

Lähde: opennet.ru