D'Attacker hunn et fäerdeg bruecht eng Backdoor an 40 Plugins an 53 Themen fir de WordPress Inhaltsverwaltungssystem z'integréieren, entwéckelt vun AccessPress, wat behaapt datt seng Add-ons op méi wéi 360 Tausend Site benotzt ginn. D'Resultater vun der Analyse vum Zwëschefall sinn nach net geliwwert ginn, awer et gëtt ugeholl datt de béisaarteg Code wärend dem Kompromiss vun der AccessPress Websäit agefouert gouf, Ännerunge fir d'Archiven ze maachen, déi fir Download mat scho verëffentlechte Verëffentlechungen ugebuede ginn, well d'Backdoor präsent ass. nëmmen am Code verdeelt iwwer déi offiziell AccessPress Websäit, awer fehlt an deene selwechte Verëffentlechunge vun Add-ons verdeelt duerch de WordPress.org Verzeechnes.
Déi béiswëlleg Ännerungen goufen entdeckt vun engem Fuerscher bei JetPack (eng Divisioun vum WordPress Entwéckler Automatic) wärend de béisaarteg Code op der Websäit vun engem Client ënnersicht. Eng Analyse vun der Situatioun huet gewisen datt béiswëlleg Ännerungen am WordPress Add-on vun der offizieller AccessPress Websäit erofgeluede goufen. Aner Add-ons vum selwechten Hiersteller waren och ënner béiswëlleg Ännerungen ënnerworf, déi de vollen Zougang zum Site mat Administratorrechter erlaabt hunn.
Wärend der Ännerung hunn d'Attacker d'Datei "initial.php" an d'Archiven mat Plugins an Themen bäigefüügt, déi iwwer d'Direktiv "Include" an der "functions.php" Datei verbonne war. Fir den Trail duercherneen ze bréngen, gouf de béisaarteg Inhalt an der "initial.php" Datei als base64 kodéierten Dateblock camoufléiren. Déi béiswëlleg Insert, ënner dem Deckmantel fir e Bild vun der Websäit wp-theme-connect.com ze kréien, huet den Backdoor Code direkt an d'wp-includes/vars.php Datei gelueden.
Déi éischt Siten déi béiswëlleg Ännerungen un AccessPress Add-ons enthalen goufen am September 2021 identifizéiert. Et gëtt ugeholl datt et deemools war datt d'Backdoor an d'Add-ons agebaut gouf. Déi éischt Notifikatioun un AccessPress iwwer de identifizéierte Problem ass onbeäntwert gaang, an AccessPress konnt nëmmen Opmierksamkeet kréien nodeems d'WordPress.org Team an der Enquête involvéiert ass. De 15. Oktober 2021 goufen d'Archiven, déi vun der Backdoor betraff sinn, vun der AccessPress Websäit geläscht, an nei Versioune vun den Add-ons goufen de 17. Januar 2022 verëffentlecht.
Sucuri getrennt iwwerpréift Siten op deenen betraff Versioune vun AccessPress installéiert goufen an d'Präsenz vu béiswëlleg Moduler identifizéiert, déi duerch eng Hannerdier gelueden sinn, déi Spam geschéckt hunn an Iwwergäng op betrügeresch Säiten ëmgeleet hunn (d'Moduler goufen 2019 an 2020 datéiert). Et gëtt ugeholl datt d'Auteuren vun der Backdoor Zougang zu kompromittéierte Site verkaaft hunn.
Themen déi d'Backdoor Ersatz enthalen:
- accessbuddy 1.0.0
- accesspress-Basis 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-parallax 4.5
- accesspress-ray 1.19.5
- accesspress-root 2.5
- accesspress-staple 1.9.1
- accesspress-store 2.4.9
- Agence-Lite 1.1.6
- aplit 1.0.6
- bingle 1.0.4
- Blogger 1.2.6
- Konstruktioun-Lite 1.2.5
- Doko 1.0.27
- erliichteren 1.3.5
- fashstore 1.2.1
- Fotografie 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- eent-Raum 2.2.8
- Parallax-Blog 3.1.1574941215
- parallaxsome 1.3.6
- Punkten 1.1.2
- dréinen 1.3.1
- ripple 1.2.0
- scrollme 2.1.0
- Sportsmag 1.2.1
- storevilla 1.4.1
- swing-lite 1.1.9
- der Launcher 1.3.2
- der-Méindeg 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-News 1.0.5
- zigcy-Baby 1.0.6
- zigcy-Kosmetik 1.0.5
- Zigcy-Lite 2.0.9
Plugins an deenen d'Backdoor Ersatz festgestallt gouf:
- accesspress-anonyme-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-Typ 1.0.8 1.0.9
- accesspress-facebook-auto-post 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-sozial Konter 1.9.1 1.9.2
- accesspress-sozial-Ikonen 1.8.2 1.8.3
- accesspress-sozial-login-lite 3.4.7 3.4.8
- accesspress-sozial-deelen 4.5.5 4.5.6
- accesspress-twitter-auto-post 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-icons-lite 1.0.9
- ap-Companion 1.0.7 2
- ap-contact-Form 1.0.6 1.0.7
- ap-Benotzerdefinéiert-Testmonial 1.4.6 1.4.7
- ap-mega-menü 3.0.5 3.0.6
- ap-Pricing-Tables-Lite 1.1.2 1.1.3
- apex-Notifikatioun-Bar-Lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- comments-disable-accesspress 1.0.7 1.0.8
- einfach-Säit-Tab-cta 1.0.7 1.0.8
- everest-admin-theme-lite 1.0.7 1.0.8
- everest-kënnt-geschwënn-lite 1.1.0 1.1.1
- Everest-Comment-Bewäertung-Lite 2.0.4 2.0.5
- Everest Konter-Lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- Everest-Galerie-Lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-review-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inline-call-to-action-builder-lite 1.1.0 1.1.1
- produkt-slider-fir-woocommerce-lite 1.1.5 1.1.6
- smart-logo-showcase-lite 1.1.7 1.1.8
- smart-scroll-posts 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- total-Team-Lite 1.1.1 1.1.2
- ultimate-Auteur-box-lite 1.1.2 1.1.3
- ultimate-Form-Builder-Lite 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-slider 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-cookie-user-info 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- wp-floating-menu 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-Popup-Banner 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-gallery-lite 1.1.1
Source: opennet.ru