ProHoster > Blog > netfréttir > Bakdyr í 93 AccessPress viðbótum og þemum sem notuð eru á 360 þúsund síðum

Bakdyr í 93 AccessPress viðbótum og þemum sem notuð eru á 360 þúsund síðum

Árásarmennirnir náðu að fella bakdyr í 40 viðbætur og 53 þemu fyrir WordPress vefumsjónarkerfið, þróað af AccessPress, sem heldur því fram að viðbætur þess séu notaðar á meira en 360 þúsund vefsvæðum. Niðurstöður greiningar á atvikinu hafa ekki enn verið gefnar upp, en gert er ráð fyrir að illgjarn kóðinn hafi verið kynntur við málamiðlun AccessPress vefsíðunnar, sem gerði breytingar á skjalasafni sem boðið er upp á til niðurhals með þegar útgefnum útgáfum, þar sem bakdyrnar eru til staðar aðeins í kóðanum sem dreift er í gegnum opinberu AccessPress vefsíðuna, en er fjarverandi í þeim sömu útgáfum af viðbótum sem dreift er í gegnum WordPress.org skrána.

Illgjarnar breytingarnar voru uppgötvaðar af rannsakanda hjá JetPack (deild WordPress þróunaraðila Automatic) á meðan hann skoðaði skaðlegan kóða sem fannst á vefsíðu viðskiptavinar. Greining á ástandinu sýndi að illgjarnar breytingar voru til staðar í WordPress viðbótinni sem hlaðið var niður af opinberu AccessPress vefsíðunni. Aðrar viðbætur frá sama framleiðanda voru einnig háðar skaðlegum breytingum sem leyfðu fullan aðgang að síðunni með stjórnandaréttindum.

Meðan á breytingunni stóð bættu árásarmennirnir „initial.php“ skránni við skjalasafnið með viðbótum og þemum, sem var tengd með „include“ tilskipuninni í „functions.php“ skránni. Til að rugla slóðina var illgjarn efni í „initial.php“ skránni dulbúið sem base64 kóðuð gagnablokk. Illgjarna innskotið, undir því yfirskini að fá mynd af vefsíðunni wp-theme-connect.com, hlóð bakdyrakóðanum beint inn í wp-includes/vars.php skrána.

Bakdyr í 93 AccessPress viðbótum og þemum sem notuð eru á 360 þúsund síðum
Bakdyr í 93 AccessPress viðbótum og þemum sem notuð eru á 360 þúsund síðum

Fyrstu síðurnar sem innihéldu skaðlegar breytingar á AccessPress viðbótum voru auðkenndar í september 2021. Gert er ráð fyrir að það hafi verið þá sem bakdyrnar voru settar inn í viðbæturnar. Fyrstu tilkynningunni til AccessPress um vandamálið sem greint var frá var ósvarað og AccessPress gat aðeins vakið athygli eftir að hafa tekið WordPress.org teymið inn í rannsóknina. Þann 15. október 2021 voru skjalasafnið sem varð fyrir áhrifum af bakdyrunum fjarlægð af AccessPress vefsíðunni og nýjar útgáfur af viðbótunum voru gefnar út 17. janúar 2022.

Sucuri skoðaði sérstaklega síður þar sem viðkomandi útgáfur af AccessPress voru settar upp og greindi tilvist illgjarnra eininga sem hlaðnar voru inn um bakdyr sem sendu ruslpóst og vísaðu umbreytingum á sviksamlegar síður (einingarnar voru dagsettar 2019 og 2020). Gert er ráð fyrir að höfundar bakdyranna hafi verið að selja aðgang að vefsvæðum sem hafa verið í hættu.

Þemu þar sem bakdyraskiptin eru skráð:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-parallax 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-hefta 1.9.1
  • accesspress-verslun 2.4.9
  • Agency-lite 1.1.6
  • aplite 1.0.6
  • bingle 1.0.4
  • bloggari 1.2.6
  • smíði-lite 1.2.5
  • doko 1.0.27
  • upplýsa 1.3.5
  • fashstore 1.2.1
  • ljósmyndun 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • eins rými 2.2.8
  • parallax-blogg 3.1.1574941215
  • parallaxsome 1.3.6
  • punktar 1.1.2
  • snúast 1.3.1
  • gára 1.2.0
  • scrollme 2.1.0
  • Sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • sjósetja 1.3.2
  • mánudaginn 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-fréttir 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-snyrtivörur 1.0.5
  • zigcy-lite 2.0.9

Viðbætur þar sem bakdyraskipti greindust:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-tákn 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-companion 1.0.7 2
  • ap-contact-form 1.0.6 1.0.7
  • ap-custom-vitnisburður 1.4.6 1.4.7
  • ap-mega-valmynd 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-verslun-til-db-lite 1.0.9 1.1.0
  • comments-disable-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • Everest-kemur-bráðum-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • vöru-renna-fyrir-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-póstar 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-renna 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-fljótandi-valmynd 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-sprettigluggar 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Heimild: opennet.ru

Bæta við athugasemd