ProHoster > Blogs > interneta ziņas > Backdoor 93 AccessPress spraudņos un motīvos, kas tiek izmantoti 360 XNUMX vietņu

Backdoor 93 AccessPress spraudņos un motīvos, kas tiek izmantoti 360 XNUMX vietņu

Uzbrucējiem izdevās iegult aizmugures durvis 40 spraudņos un 53 motīvos WordPress satura pārvaldības sistēmai, ko izstrādājusi AccessPress, kas apgalvo, ka tās papildinājumi tiek izmantoti vairāk nekā 360 tūkstošos vietņu. Notikuma analīzes rezultāti vēl nav sniegti, taču tiek pieņemts, ka kaitīgais kods tika ieviests AccessPress vietnes kompromitēšanas laikā, veicot izmaiņas lejupielādei piedāvātajos arhīvos ar jau izlaistajiem laidieniem, jo ​​ir aizmugures durvis. tikai kodā, kas izplatīts, izmantojot oficiālo AccessPress vietni, bet tā nav tajos pašos papildinājumu laidienos, kas izplatīti, izmantojot WordPress.org direktoriju.

Ļaunprātīgās izmaiņas atklāja JetPack (WordPress izstrādātāja Automatic nodaļas) pētnieks, pārbaudot klienta vietnē atrasto ļaunprātīgo kodu. Situācijas analīze parādīja, ka no oficiālās AccessPress vietnes lejupielādētajā WordPress papildinājumā ir notikušas ļaunprātīgas izmaiņas. Arī citi tā paša ražotāja papildinājumi tika pakļauti ļaunprātīgām modifikācijām, kas ļāva pilnībā piekļūt vietnei ar administratora tiesībām.

Modifikācijas laikā uzbrucēji ar spraudņiem un motīviem pievienoja arhīvam failu “initial.php”, kas tika savienots, izmantojot direktīvu “include” failā “functions.php”. Lai sajauktu pēdas, ļaunprātīgais saturs failā “initial.php” tika maskēts kā base64 kodēts datu bloks. Ļaunprātīgais ieliktnis, aizbildinoties ar attēla saņemšanu no vietnes wp-theme-connect.com, tieši ielādēja aizmugures durvju kodu failā wp-includes/vars.php.

Backdoor 93 AccessPress spraudņos un motīvos, kas tiek izmantoti 360 XNUMX vietņu
Backdoor 93 AccessPress spraudņos un motīvos, kas tiek izmantoti 360 XNUMX vietņu

Pirmās vietnes, kurās tika veiktas ļaunprātīgas izmaiņas AccessPress papildinājumos, tika identificētas 2021. gada septembrī. Tiek pieņemts, ka tieši tad aizmugurējās durvis tika ievietotas papildinājumos. Pirmais paziņojums AccessPress par identificēto problēmu palika bez atbildes, un AccessPress spēja pievērst uzmanību tikai pēc WordPress.org komandas iesaistīšanas izmeklēšanā. 15. gada 2021. oktobrī no AccessPress vietnes tika noņemti arhīvi, kurus ietekmēja aizmugures durvis, un 17. gada 2022. janvārī tika izlaistas jaunas papildinājumu versijas.

Sucuri atsevišķi pārbaudīja vietnes, kurās tika instalētas ietekmētās AccessPress versijas, un konstatēja ļaunprātīgu moduļu klātbūtni, kas tika ielādēti caur aizmugures durvīm, kas sūtīja surogātpastu un novirzīja novirzīšanas uz krāpnieciskām vietnēm (moduļi bija datēti ar 2019. un 2020. gadu). Tiek pieņemts, ka aizmugures durvju autori pārdeva piekļuvi apdraudētām vietnēm.

Tēmas, kurās tiek ierakstīta aizmugures aizstāšana:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-parallax 4.5
  • Accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-veikals 2.4.9
  • Agency-lite 1.1.6
  • aplite 1.0.6
  • bingle 1.0.4
  • emuāru autors 1.2.6
  • Construction-Lite 1.2.5
  • doko 1.0.27
  • apgaismot 1.3.5
  • fashstore 1.2.1
  • fotografēšana 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • vientelpas 2.2.8
  • paralakse-emuārs 3.1.1574941215
  • paralaksoma 1.3.6
  • punte 1.1.2
  • griezties 1.3.1
  • viļņojums 1.2.0
  • scrollme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • palaišanas iekārta 1.3.2
  • pirmdiena 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-kosmētika 1.0.5
  • zigcy-lite 2.0.9

Spraudņi, kuros tika konstatēta aizmugures durvju aizstāšana:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-icons 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-companion 1.0.7 2
  • ap-contact-form 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-menu 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • komentāri-atspējot-piekļut 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • product-slider-for-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-posts 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-peldošā izvēlne 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Avots: opennet.ru

Pievieno komentāru