Os atacantes conseguiron incrustar unha porta traseira en 40 complementos e 53 temas para o sistema de xestión de contidos de WordPress, desenvolvido por AccessPress, que afirma que os seus complementos úsanse en máis de 360 mil sitios. Aínda non se proporcionaron os resultados da análise do incidente, pero suponse que o código malicioso foi introducido durante o compromiso do sitio web de AccessPress, facendo cambios nos arquivos ofrecidos para a descarga con versións xa publicadas, xa que a porta traseira está presente. só no código distribuído a través do sitio web oficial de AccessPress, pero está ausente naqueles mesmos lanzamentos de complementos distribuídos a través do directorio WordPress.org.
Os cambios maliciosos foron descubertos por un investigador de JetPack (unha división do desenvolvedor de WordPress Automatic) mentres examinaba o código malicioso atopado no sitio web dun cliente. Unha análise da situación mostrou que había cambios maliciosos no complemento de WordPress descargado do sitio web oficial de AccessPress. Outros complementos do mesmo fabricante tamén estaban suxeitos a modificacións maliciosas que permitían o acceso total ao sitio con dereitos de administrador.
Durante a modificación, os atacantes engadiron o ficheiro "initial.php" aos arquivos con complementos e temas, que estaba conectado mediante a directiva "include" no ficheiro "functions.php". Para confundir o rastro, o contido malicioso do ficheiro "initial.php" camuflóuse como un bloque de datos codificado en base64. A inserción maliciosa, baixo o pretexto de recibir unha imaxe do sitio web wp-theme-connect.com, cargou directamente o código de porta traseira no ficheiro wp-includes/vars.php.
Os primeiros sitios que incluíron cambios maliciosos nos complementos de AccessPress identificáronse en setembro de 2021. Suponse que foi entón cando se inseriu a porta traseira nos complementos. A primeira notificación a AccessPress sobre o problema identificado quedou sen resposta, e AccessPress só puido chamar a atención despois de involucrar ao equipo de WordPress.org na investigación. O 15 de outubro de 2021, os arquivos afectados pola porta traseira foron eliminados do sitio web de AccessPress e lanzáronse novas versións dos complementos o 17 de xaneiro de 2022.
Sucuri examinou por separado os sitios nos que se instalaron versións afectadas de AccessPress e identificou a presenza de módulos maliciosos cargados a través dunha porta traseira que enviaba spam e redirixiu as transicións a sitios fraudulentos (os módulos databan de 2019 e 2020). Suponse que os autores da porta traseira estaban a vender acceso a sitios comprometidos.
Temas nos que se rexistra a substitución de portas traseiras:
- accessbuddy 1.0.0
- accesspress-basic 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-parallax 4.5
- accesspress-ray 1.19.5
- accesspress-root 2.5
- accesspress-staple 1.9.1
- accesspress-store 2.4.9
- axencia-lite 1.1.6
- aplite 1.0.6
- bingle 1.0.4
- blogger 1.2.6
- construción-lite 1.2.5
- doko 1.0.27
- iluminar 1.3.5
- tenda de roupa 1.2.1
- fotografía 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- dun espazo 2.2.8
- parallax-blog 3.1.1574941215
- paralaxoso 1.3.6
- punto 1.1.2
- xirar 1.3.1
- ondulación 1.2.0
- scrollme 2.1.0
- Sportsmag 1.2.1
- storevilla 1.4.1
- swing-lite 1.1.9
- o lanzador 1.3.2
- o-luns 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-news 1.0.5
- zigcy-baby 1.0.6
- zigcy-cosméticos 1.0.5
- zigcy-lite 2.0.9
Complementos nos que se detectou a substitución de porta traseira:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-type 1.0.8 1.0.9
- accesspress-facebook-auto-post 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-social-counter 1.9.1 1.9.2
- accesspress-social-icons 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- accesspress-social-share 4.5.5 4.5.6
- accesspress-twitter-auto-post 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-icons-lite 1.0.9
- ap-companion 1.0.7 2
- ap-contact-form 1.0.6 1.0.7
- ap-custom-testimonial 1.4.6 1.4.7
- ap-mega-menu 3.0.5 3.0.6
- ap-pricing-tables-lite 1.1.2 1.1.3
- apex-notification-bar-lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- comments-disable-accesspress 1.0.7 1.0.8
- easy-side-tab-cta 1.0.7 1.0.8
- everest-admin-theme-lite 1.0.7 1.0.8
- everest-coming-soon-lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- everest-counter-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-gallery-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-review-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inline-call-to-action-builder-lite 1.1.0 1.1.1
- produto-slider-para-woocommerce-lite 1.1.5 1.1.6
- smart-logo-showcase-lite 1.1.7 1.1.8
- publicacións de desprazamento intelixente 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- total-equipo-lite 1.1.1 1.1.2
- ultimate-author-box-lite 1.1.2 1.1.3
- ultimate-form-builder-lite 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-slider 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-cookie-user-info 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- wp-menú flotante 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-popup-banners 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-gallery-lite 1.1.1
Fonte: opennet.ru