Gli aggressori sono riusciti a integrare una backdoor in 40 plugin e 53 temi per il sistema di gestione dei contenuti WordPress, sviluppato da AccessPress, che afferma che i suoi componenti aggiuntivi sono utilizzati su oltre 360mila siti. I risultati dell'analisi dell'incidente non sono stati ancora forniti, ma si presume che il codice dannoso sia stato introdotto durante la compromissione del sito Web AccessPress, apportando modifiche agli archivi offerti per il download con versioni giΓ rilasciate, poichΓ© Γ¨ presente la backdoor solo nel codice distribuito tramite il sito ufficiale AccessPress, ma Γ¨ assente in quelle stesse versioni di componenti aggiuntivi distribuite tramite la directory WordPress.org.
Le modifiche dannose sono state scoperte da un ricercatore di JetPack (una divisione dello sviluppatore WordPress Automatic) mentre esaminava il codice dannoso trovato sul sito web di un cliente. Dall'analisi della situazione Γ¨ emerso che nel componente aggiuntivo di WordPress scaricato dal sito ufficiale AccessPress erano presenti modifiche dannose. Anche altri componenti aggiuntivi dello stesso produttore sono stati soggetti a modifiche dannose che consentivano l'accesso completo al sito con diritti di amministratore.
Durante la modifica gli aggressori hanno aggiunto agli archivi con plugin e temi il file "initial.php", che era collegato tramite la direttiva "include" nel file "functions.php". Per confondere le tracce, il contenuto dannoso nel file βinitial.phpβ Γ¨ stato camuffato come un blocco di dati codificato base64. L'inserto dannoso, con il pretesto di ottenere un'immagine dal sito web wp-theme-connect.com, caricava direttamente il codice backdoor nel file wp-includes/vars.php.
I primi siti che includevano modifiche dannose ai componenti aggiuntivi di AccessPress sono stati identificati nel settembre 2021. Si presume che sia stato allora che la backdoor sia stata inserita nei componenti aggiuntivi. La prima notifica ad AccessPress relativa al problema identificato Γ¨ rimasta senza risposta e AccessPress Γ¨ riuscita ad attirare l'attenzione solo dopo aver coinvolto il team di WordPress.org nell'indagine. Il 15 ottobre 2021, gli archivi interessati dalla backdoor sono stati rimossi dal sito Web AccessPress e il 17 gennaio 2022 sono state rilasciate nuove versioni dei componenti aggiuntivi.
Sucuri ha esaminato separatamente i siti su cui erano installate le versioni interessate di AccessPress e ha identificato la presenza di moduli dannosi caricati tramite una backdoor che inviava spam e reindirizzava le transizioni a siti fraudolenti (i moduli erano datati 2019 e 2020). Si presume che gli autori della backdoor vendessero l'accesso a siti compromessi.
Temi in cui viene registrata la sostituzione della backdoor:
- compagno di accesso 1.0.0
- accesspress-basic 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-parallasse 4.5
- accederepress-ray 1.19.5
- accederepress-root 2.5
- accesspress-staple 1.9.1
- accesspress-store 2.4.9
- agenzia-lite 1.1.6
- aplite 1.0.6
- bingle 1.0.4
- blogger 1.2.6
- costruzione-lite 1.2.5
- doko 1.0.27
- illuminare 1.3.5
- flashstore 1.2.1
- fotografia 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- uno spazio 2.2.8
- parallasse-blog 3.1.1574941215
- parallasse 1.3.6
- punta 1.1.2
- ruotare 1.3.1
- ondulazione 1.2.0
- scrollmi 2.1.0
- rivista sportiva 1.2.1
- storevilla 1.4.1
- swinglite 1.1.9
- il lanciatore 1.3.2
- il-lunedì 1.4.1
- uncodelite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-notizie 1.0.5
- zigcy-baby 1.0.6
- zigcy-cosmetici 1.0.5
- zigcy-lite 2.0.9
Plugin in cui Γ¨ stata rilevata la sostituzione di backdoor:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-type 1.0.8 1.0.9
- accesspress-facebook-auto-post 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-social-counter 1.9.1 1.9.2
- accesspress-social-icons 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- accesspress-social-share 4.5.5 4.5.6
- accesspress-twitter-auto-post 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-icons-lite 1.0.9
- ap-compagno 1.0.7 2
- ap-modulo-contatto 1.0.6 1.0.7
- ap-custom-testimonianza 1.4.6 1.4.7
- ap-mega-menu 3.0.5 3.0.6
- ap-pricing-tables-lite 1.1.2 1.1.3
- apex-notification-bar-lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- commenti-disabilita-accessopress 1.0.7 1.0.8
- easy-side-tab-cta 1.0.7 1.0.8
- everest-admin-theme-lite 1.0.7 1.0.8
- everest-coming-soon-lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- everest-counter-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-galleria-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-recensione-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inline-call-to-action-builder-lite 1.1.0 1.1.1
- product-slider-for-woocommerce-lite 1.1.5 1.1.6
- smart-logo-vetrina-lite 1.1.7 1.1.8
- smart-scroll-post 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- totale-gdpr-compliance-lite 1.0.4
- totale-team-lite 1.1.1 1.1.2
- ultimo-autore-box-lite 1.1.2 1.1.3
- ultimo-form-builder-lite 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-slider 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-cookie-info-utente 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- wp-floating-menu 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-popup-banner 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-gallery-lite 1.1.1
Fonte: opennet.ru