攻撃者は、AccessPress が開発した WordPress コンテンツ管理システムの 40 個のプラグインと 53 個のテーマにバックドアを埋め込むことに成功しました。同社のアドオンは 360 万以上のサイトで使用されていると主張しています。 このインシデントの分析結果はまだ提供されていませんが、バックドアが存在するため、AccessPress Web サイトの侵害中に悪意のあるコードが導入され、すでにリリースされたリリースとともにダウンロード用に提供されているアーカイブに変更が加えられたと考えられます。公式 AccessPress Web サイトを通じて配布されるコードにのみ含まれていますが、WordPress.org ディレクトリを通じて配布されるアドオンの同じリリースには含まれていません。
この悪意のある変更は、JetPack (WordPress 開発会社 Automatic の一部門) の研究者が、クライアントの Web サイトで見つかった悪意のあるコードを調査中に発見しました。 状況を分析した結果、AccessPress の公式 Web サイトからダウンロードした WordPress アドオンに悪意のある変更が存在することが判明しました。 同じメーカーの他のアドオンも、管理者権限によるサイトへのフルアクセスを許可する悪意のある改変の対象となっていました。
変更中に、攻撃者は、「functions.php」ファイルの「include」ディレクティブを介して接続された「initial.php」ファイルをプラグインとテーマとともにアーカイブに追加しました。 証跡を混乱させるために、「initial.php」ファイル内の悪意のあるコンテンツは、base64 でエンコードされたデータ ブロックとして偽装されました。 悪意のある挿入は、Web サイト wp-theme-connect.com から画像を受信することを装って、バックドア コードを wp-includes/vars.php ファイルに直接ロードします。
AccessPress アドオンへの悪意のある変更を含む最初のサイトは、2021 年 15 月に特定されました。 このときバックドアがアドオンに挿入されたと考えられます。 特定された問題に関する AccessPress への最初の通知は返答されず、AccessPress が注目を集めることができたのは、WordPress.org チームを調査に参加させた後でした。 2021 年 17 月 2022 日に、バックドアの影響を受けたアーカイブが AccessPress Web サイトから削除され、アドオンの新しいバージョンが XNUMX 年 XNUMX 月 XNUMX 日にリリースされました。
Sucuri は、影響を受けるバージョンの AccessPress がインストールされているサイトを個別に調査し、スパムを送信し、不正サイトへの遷移をリダイレクトするバックドア経由で読み込まれる悪意のあるモジュールの存在を特定しました (モジュールの日付は 2019 年と 2020 年でした)。 バックドアの作成者は、侵害されたサイトへのアクセスを販売していたと考えられます。
バックドア置換が記録されるテーマ:
- アクセスバディ 1.0.0
- アクセスプレス-ベーシック 3.2.1
- アクセスプレスライト 2.92
- アクセスプレス-mag 2.6.5
- アクセスプレス視差 4.5
- アクセスプレスレイ 1.19.5
- アクセスプレスルート 2.5
- アクセスプレス-ステープル 1.9.1
- アクセスプレスストア 2.4.9
- エージェンシーライト 1.1.6
- アプライト 1.0.6
- ビングル 1.0.4
- ブロガー 1.2.6
- 建設ライト 1.2.5
- どこ 1.0.27
- 啓発 1.3.5
- ファッショストア 1.2.1
- 写真 2.4.0
- ガガコープ 1.0.8
- ガガライト 1.4.2
- ワンスペース 2.2.8
- 視差ブログ 3.1.1574941215
- パララクサム 1.3.6
- プンテ 1.1.2
- 回転 1.3.1
- リップル 1.2.0
- スクロールミー 2.1.0
- スポーツマグ 1.2.1
- ストアヴィラ 1.4.1
- スイングライト 1.1.9
- ランチャー 1.3.2
- 月曜日 1.4.1
- アンコードライト 1.3.1
- ユニコンライト 1.2.6
- vmag 1.2.7
- vマガジンライト 1.3.5
- vマガジンニュース 1.0.5
- ジグシーベイビー 1.0.6
- ジグシーコスメティックス 1.0.5
- ジグシーライト 2.0.9
バックドア置換が検出されたプラグイン:
- アクセスプレス-匿名投稿 2.8.0 2.8.1 1
- アクセスプレス-カスタム-css 2.0.1 2.0.2
- アクセスプレスカスタムポストタイプ 1.0.8 1.0.9
- アクセスプレス-facebook-自動投稿 2.1.3 2.1.4
- アクセスプレス-インスタグラム-フィード 4.0.3 4.0.4
- アクセスプレス-ピンタレスト 3.3.3 3.3.4
- アクセスプレス-ソーシャルカウンター 1.9.1 1.9.2
- アクセスプレス-ソーシャルアイコン 1.8.2 1.8.3
- アクセスプレス-ソーシャル-ログイン-ライト 3.4.7 3.4.8
- アクセスプレス-ソーシャル-シェア 4.5.5 4.5.6
- アクセスプレス-twitter-自動投稿 1.4.5 1.4.6
- アクセスプレス-ツイッター-フィード 1.6.7 1.6.8
- ak-メニュー-アイコン-lite 1.0.9
- ap-コンパニオン 1.0.7 2
- ap-コンタクトフォーム 1.0.6 1.0.7
- ap-カスタム証言 1.4.6 1.4.7
- ap-メガメニュー 3.0.5 3.0.6
- ap-価格設定テーブル-lite 1.1.2 1.1.3
- apex-notification-bar-lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- コメント無効アクセスプレス 1.0.7 1.0.8
- easy-side-tab-cta 1.0.7 1.0.8
- エベレスト管理テーマライト 1.0.7 1.0.8
- エベレスト近日公開ライト 1.1.0 1.1.1
- エベレストコメント評価ライト 2.0.4 2.0.5
- エベレストカウンターライト 2.0.7 2.0.8
- エベレスト-faq-マネージャー-lite 1.0.8 1.0.9
- エベレストギャラリーライト 1.0.8 1.0.9
- エベレスト-google-places-reviews-lite 1.0.9 2.0.0
- エベレストレビューライト 1.0.7
- エベレストタブライト 2.0.3 2.0.4
- エベレストタイムラインライト 1.1.1 1.1.2
- インラインコールトゥアクションビルダーライト 1.1.0 1.1.1
- 製品スライダー for woocommerce-lite 1.1.5 1.1.6
- スマートロゴショーケースライト 1.1.7 1.1.8
- スマートスクロールポスト 2.0.8 2.0.9
- スマートスクロールトゥトップライト 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- トータルチームライト 1.1.1 1.1.2
- 究極の著者ボックス-lite 1.1.2 1.1.3
- 究極フォームビルダーライト 1.5.0 1.5.1
- ウーバッジデザイナーライト 1.1.0 1.1.1
- wp-1-スライダー 1.2.9 1.3.0
- wp-ブログ-マネージャー-lite 1.1.0 1.1.2
- wp-コメント-デザイナー-lite 2.0.3 2.0.4
- wp-cookie-ユーザー情報 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-メッセンジャー-ボタン-lite 2.0.7
- wp-フローティングメニュー 1.4.4 1.4.5
- wp-メディアマネージャー-lite 1.1.2 1.1.3
- wp-ポップアップ-バナー 1.2.3 1.2.4
- wp-ポップアップライト 1.0.8
- wp-製品-ギャラリー-lite 1.1.1
出所: オープンネット.ru