ProHoster > Blogi > netin uutisia > Backdoor 93 AccessPress-laajennuksessa ja teemassa, joita käytetään 360 XNUMX sivustolla

Backdoor 93 AccessPress-laajennuksessa ja teemassa, joita käytetään 360 XNUMX sivustolla

Hyökkääjät onnistuivat upottamaan takaoven 40 laajennukseen ja 53 teemaan AccessPressin kehittämään WordPress-sisällönhallintajärjestelmään, joka väittää, että sen lisäosia käytetään yli 360 tuhannella sivustolla. Tapauksen analyysin tuloksia ei ole vielä toimitettu, mutta oletetaan, että haitallinen koodi otettiin käyttöön AccessPress-verkkosivuston kompromitoinnin yhteydessä, mikä teki muutoksia ladattavaksi tarjottuihin arkistoon jo julkaistuilla julkaisuilla, koska takaovi on olemassa. vain virallisen AccessPress-verkkosivuston kautta jaetussa koodissa, mutta se puuttuu samoista lisäosien julkaisuista, jotka jaetaan WordPress.org-hakemiston kautta.

Haitalliset muutokset havaitsi JetPackin (WordPress-kehittäjä Automaticin osasto) tutkija tutkiessaan asiakkaan verkkosivustolta löydettyä haitallista koodia. Tilanneanalyysi osoitti, että viralliselta AccessPress-sivustolta ladatussa WordPress-lisäosassa oli haitallisia muutoksia. Myös muut saman valmistajan lisäosat olivat haitallisten muutosten kohteena, jotka mahdollistivat täyden pääsyn sivustolle järjestelmänvalvojan oikeuksin.

Muokkauksen aikana hyökkääjät lisäsivät arkistoon liitännäisillä ja teemoilla tiedoston "initial.php", joka yhdistettiin "functions.php" -tiedoston "include" -direktiivin kautta. Jäljen sekoittamiseksi "initial.php"-tiedoston haitallinen sisältö naamioitiin base64-koodatuksi tietolohkoksi. Haitallinen lisäys, jonka varjolla sai kuvan verkkosivustolta wp-theme-connect.com, latasi suoraan takaoven koodin wp-includes/vars.php-tiedostoon.

Backdoor 93 AccessPress-laajennuksessa ja teemassa, joita käytetään 360 XNUMX sivustolla
Backdoor 93 AccessPress-laajennuksessa ja teemassa, joita käytetään 360 XNUMX sivustolla

Ensimmäiset sivustot, jotka sisälsivät haitallisia muutoksia AccessPress-lisäosiin, tunnistettiin syyskuussa 2021. Oletetaan, että juuri silloin takaovi lisättiin lisäosiin. Ensimmäinen ilmoitus AccessPressille tunnistetusta ongelmasta jäi vastaamatta, ja AccessPress sai huomion vasta saatuaan WordPress.org-tiimin mukaan tutkimukseen. 15 arkistot, joihin takaovea vaikuttivat, poistettiin AccessPress-verkkosivustolta ja lisäosien uudet versiot julkaistiin 2021.

Sucuri tutki erikseen sivustot, joille oli asennettu AccessPress-versiot, joihin vaikuttivat, ja tunnisti takaoven kautta ladattujen haitallisten moduulien esiintymisen, jotka lähettivät roskapostia ja ohjasivat siirtymiä vilpillisiin sivustoihin (moduulit olivat vuosilta 2019 ja 2020). Oletetaan, että takaoven kirjoittajat myivät pääsyä vaarantuneille sivustoille.

Teemat, joihin takaoven vaihto on tallennettu:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-parallax 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • Agency-lite 1.1.6
  • aplite 1.0.6
  • bingle 1.0.4
  • bloggaaja 1.2.6
  • Construction-lite 1.2.5
  • doko 1.0.27
  • valistaa 1.3.5
  • Fashstore 1.2.1
  • valokuvaus 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • yksivälinen 2.2.8
  • parallaksi-blogi 3.1.1574941215
  • parallaksi 1.3.6
  • punte 1.1.2
  • pyörii 1.3.1
  • ripple 1.2.0
  • scrollme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • kantoraketti 1.3.2
  • maanantaina 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-kosmetiikka 1.0.5
  • zigcy-lite 2.0.9

Lisäosat, joissa takaoven korvaaminen havaittiin:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-icons 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-syöte 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-companion 1.0.7 2
  • ap-contact-form 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-valikko 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • comments-disable-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • product-slider-for-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-posts 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-liukusäädin 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-kelluva-valikko 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-bannerit 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Lähde: opennet.ru

Lisää kommentti