ProHoster > Blog > wiadomości internetowe > Backdoor w 93 wtyczkach i motywach AccessPress używanych na 360 XNUMX stron internetowych

Backdoor w 93 wtyczkach i motywach AccessPress używanych na 360 XNUMX stron internetowych

Atakującym udało się osadzić backdoora w 40 wtyczkach i 53 motywach systemu zarządzania treścią WordPress, opracowanego przez firmę AccessPress, która twierdzi, że jej dodatki są używane w ponad 360 tysiącach witryn. Nie podano jeszcze wyników analizy incydentu, ale zakłada się, że złośliwy kod został wprowadzony podczas włamania się na stronę AccessPress, dokonując zmian w archiwach oferowanych do pobrania z już wydanymi wydaniami, ponieważ obecny jest backdoor tylko w kodzie rozpowszechnianym za pośrednictwem oficjalnej strony AccessPress, ale nie ma go w tych samych wydaniach dodatków dystrybuowanych za pośrednictwem katalogu WordPress.org.

Szkodliwe zmiany zostały odkryte przez badacza z JetPack (oddziału firmy Automatic zajmującej się tworzeniem WordPressa) podczas sprawdzania złośliwego kodu znalezionego na stronie internetowej klienta. Analiza sytuacji wykazała, że ​​w dodatku WordPress pobranym z oficjalnej strony AccessPress obecne były szkodliwe zmiany. Inne dodatki tego samego producenta również zostały poddane złośliwym modyfikacjom, które umożliwiły pełny dostęp do serwisu z uprawnieniami administratora.

Podczas modyfikacji napastnicy dodali do archiwów plik „initial.php” z wtyczkami i motywami, który został podłączony za pomocą dyrektywy „include” w pliku „functions.php”. Aby zmylić trop, złośliwa zawartość pliku „initial.php” została zakamuflowana jako blok danych zakodowany w standardzie Base64. Szkodliwa wstawka pod pozorem uzyskania obrazu ze strony internetowej wp-theme-connect.com bezpośrednio ładowała kod backdoora do pliku wp-includes/vars.php.

Backdoor w 93 wtyczkach i motywach AccessPress używanych na 360 XNUMX stron internetowych
Backdoor w 93 wtyczkach i motywach AccessPress używanych na 360 XNUMX stron internetowych

Pierwsze witryny zawierające złośliwe zmiany w dodatkach AccessPress zostały zidentyfikowane we wrześniu 2021 r. Zakłada się, że właśnie wtedy do dodatków wstawiono backdoora. Pierwsze powiadomienie AccessPress o zidentyfikowanym problemie pozostało bez odpowiedzi, a AccessPress mógł zwrócić na siebie uwagę dopiero po zaangażowaniu zespołu WordPress.org w dochodzenie. 15 października 2021 r. archiwa dotknięte backdoorem zostały usunięte ze strony AccessPress, a 17 stycznia 2022 r. wydano nowe wersje dodatków.

Sucuri oddzielnie zbadał witryny, na których zainstalowano podatne wersje programu AccessPress, i zidentyfikował obecność złośliwych modułów załadowanych przez backdoora, które wysyłały spam i przekierowywały przejścia do fałszywych witryn (moduły były datowane na lata 2019 i 2020). Zakłada się, że autorzy backdoora sprzedawali dostęp do zaatakowanych stron.

Motywy, w których odnotowana jest zamiana backdoora:

  • Accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-paralaksa 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • sklep dostępu do prasy 2.4.9
  • agencja-lite 1.1.6
  • aplite 1.0.6
  • bingiel 1.0.4
  • bloger 1.2.6
  • konstrukcja-lite 1.2.5
  • doko 1.0.27
  • oświecić 1.3.5
  • sklep spożywczy 1.2.1
  • fotografia 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • jednospacja 2.2.8
  • blog paralaksy 3.1.1574941215
  • paralaksasom 1.3.6
  • punkt 1.1.2
  • obracać się 1.3.1
  • tętnienie 1.2.0
  • przewiń 2.1.0
  • magazyn sportowy 1.2.1
  • willa sklepowa 1.4.1
  • swing-lite 1.1.9
  • program uruchamiający 1.3.2
  • poniedziałek 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-kosmetyki 1.0.5
  • zigcy-lite 2.0.9

Wtyczki, w których wykryto podstawienie backdoora:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • dostęp do kanału na Instagramie 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-icons 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-companion 1.0.7 2
  • ap-formularz-kontaktowy 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-menu 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • komentarze-wyłącz-dostęp naciśnij 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-wkrótce-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-galeria-lite 1.0.8 1.0.9
  • everest-google-places-recenzje-lite 1.0.9 2.0.0
  • everest-recenzja-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • suwak produktu dla-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-posts 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-Gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ostateczny autor-box-lite 1.1.2 1.1.3
  • ostateczny-formularz-konstruktor-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-recenzja-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-pływające-menu 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-galeria-produktów-lite 1.1.1

Źródło: opennet.ru

Dodaj komentarz