De aanvallers slaagden erin een achterdeur in te bouwen in 40 plug-ins en 53 thema’s voor het contentmanagementsysteem WordPress, ontwikkeld door AccessPress, dat beweert dat de add-ons op meer dan 360 sites worden gebruikt. De resultaten van de analyse van het incident zijn nog niet verstrekt, maar er wordt aangenomen dat de kwaadaardige code is geïntroduceerd tijdens het compromitteren van de AccessPress-website, waardoor wijzigingen zijn aangebracht in de archieven die worden aangeboden om te downloaden met reeds uitgebrachte releases, aangezien de achterdeur aanwezig is alleen in de code die wordt verspreid via de officiële AccessPress-website, maar ontbreekt in dezelfde releases van add-ons die worden verspreid via de WordPress.org-directory.
De kwaadaardige wijzigingen werden ontdekt door een onderzoeker bij JetPack (een divisie van WordPress-ontwikkelaar Automatic) tijdens het onderzoeken van kwaadaardige code die op de website van een klant werd aangetroffen. Uit een analyse van de situatie bleek dat er kwaadaardige wijzigingen aanwezig waren in de WordPress-add-on die was gedownload van de officiële AccessPress-website. Andere add-ons van dezelfde fabrikant waren ook onderhevig aan kwaadwillige wijzigingen die volledige toegang tot de site met beheerdersrechten mogelijk maakten.
Tijdens de wijziging voegden de aanvallers het bestand ‘initial.php’ toe aan de archieven met plug-ins en thema’s, dat via de richtlijn ‘include’ in het bestand ‘functions.php’ was verbonden. Om het spoor te verwarren werd de kwaadaardige inhoud in het “initial.php”-bestand gecamoufleerd als een base64-gecodeerd gegevensblok. De kwaadaardige insert, onder het mom van het ontvangen van een afbeelding van de website wp-theme-connect.com, laadde de achterdeurcode rechtstreeks in het wp-includes/vars.php-bestand.
De eerste sites die kwaadaardige wijzigingen in AccessPress-add-ons bevatten, werden in september 2021 geïdentificeerd. Er wordt aangenomen dat op dat moment de achterdeur in de add-ons werd geplaatst. De eerste melding aan AccessPress over het geïdentificeerde probleem bleef onbeantwoord en AccessPress kon pas aandacht krijgen nadat het WordPress.org-team bij het onderzoek was betrokken. Op 15 oktober 2021 werden de door de achterdeur getroffen archieven verwijderd van de AccessPress-website en op 17 januari 2022 werden nieuwe versies van de add-ons uitgebracht.
Sucuri onderzocht afzonderlijk sites waarop getroffen versies van AccessPress waren geïnstalleerd en identificeerde de aanwezigheid van kwaadaardige modules die via een achterdeur waren geladen en die spam stuurden en verwijzingen doorverwezen naar frauduleuze sites (de modules waren gedateerd 2019 en 2020). Er wordt aangenomen dat de auteurs van de achterdeur toegang tot gecompromitteerde sites verkochten.
Thema’s waarin de achterdeurvervanging wordt vastgelegd:
- accessbuddy 1.0.0
- accesspress-basis 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-parallax 4.5
- accesspress-ray 1.19.5
- accesspress-root 2.5
- accesspress-staple 1.9.1
- accesspress-store 2.4.9
- agency-lite 1.1.6
- Aplite 1.0.6
- bingel 1.0.4
- blogger-1.2.6
- constructie-lite 1.2.5
- doko 1.0.27
- verlichten 1.3.5
- modewinkel 1.2.1
- fotografie 2.4.0
- gaga-corp 1.0.8
- gagalite 1.4.2
- één spatie 2.2.8
- parallax-blog 3.1.1574941215
- parallaxsom 1.3.6
- punt 1.1.2
- draaien 1.3.1
- rimpel 1.2.0
- scrollme 2.1.0
- sportmagazine 1.2.1
- winkelvilla 1.4.1
- swinglite 1.1.9
- de launcher 1.3.2
- de maandag 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-nieuws 1.0.5
- zigcy-baby 1.0.6
- zigcy-cosmetica 1.0.5
- zigcy-lite 2.0.9
Plug-ins waarin achterdeurvervanging is gedetecteerd:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-aangepaste css 2.0.1 2.0.2
- accesspress-aangepast-post-type 1.0.8 1.0.9
- accesspress-facebook-auto-post 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-social-counter 1.9.1 1.9.2
- accesspress-social-iconen 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- toegang totpress-social-share 4.5.5 4.5.6
- accesspress-twitter-auto-post 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-icons-lite 1.0.9
- ap-companion 1.0.7 2
- ap-contactformulier 1.0.6 1.0.7
- ap-custom-getuigenis 1.4.6 1.4.7
- ap-mega-menu 3.0.5 3.0.6
- app-pricing-tabellen-lite 1.1.2 1.1.3
- apex-notificatie-bar-lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- reacties-disable-accesspress 1.0.7 1.0.8
- easy-side-tab-cta 1.0.7 1.0.8
- everest-admin-thema-lite 1.0.7 1.0.8
- everest-coming-soon-lite 1.1.0 1.1.1
- everest-commentaar-rating-lite 2.0.4 2.0.5
- Everest-counter-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-gallery-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-review-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-tijdlijn-lite 1.1.1 1.1.2
- inline-call-to-action-builder-lite 1.1.0 1.1.1
- product-slider-voor-woocommerce-lite 1.1.5 1.1.6
- smart-logo-showcase-lite 1.1.7 1.1.8
- smart-scroll-posts 2.0.8 2.0.9
- smart-scroll-naar-top-lite 1.0.3 1.0.4
- totaal-AVG-compliance-lite 1.0.4
- totaal-team-lite 1.1.1 1.1.2
- ultieme-auteur-box-lite 1.1.2 1.1.3
- ultieme-vorm-builder-lite 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-schuifregelaar 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-commentaar-designer-lite 2.0.3 2.0.4
- wp-cookie-gebruikersinfo 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-knop-lite 2.0.7
- wp-zwevend menu 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-popup-banners 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-gallery-lite 1.1.1
Bron: opennet.ru