ProHoster > BLOG > știri pe internet > Backdoor în 93 de pluginuri și teme AccessPress utilizate pe 360 ​​de mii de site-uri

Backdoor în 93 de pluginuri și teme AccessPress utilizate pe 360 ​​de mii de site-uri

Atacatorii au reușit să încorporeze o ușă din spate în 40 de plugin-uri și 53 de teme pentru sistemul de management al conținutului WordPress, dezvoltat de AccessPress, care susține că suplimentele sale sunt folosite pe peste 360 ​​de mii de site-uri. Rezultatele analizei incidentului nu au fost încă furnizate, dar se presupune că codul rău intenționat a fost introdus în timpul compromisului site-ului AccessPress, făcând modificări arhivelor oferite spre descărcare cu versiuni deja lansate, întrucât backdoor-ul este prezent. numai în codul distribuit prin site-ul oficial AccessPress, dar lipsește în aceleași versiuni de suplimente distribuite prin directorul WordPress.org.

Modificările rău intenționate au fost descoperite de un cercetător de la JetPack (o divizie a dezvoltatorului WordPress Automatic) în timp ce examina codul rău intenționat găsit pe site-ul web al unui client. O analiză a situației a arătat că au fost prezente modificări rău intenționate în add-on-ul WordPress descărcat de pe site-ul oficial AccessPress. Alte suplimente de la același producător au fost, de asemenea, supuse unor modificări rău intenționate care au permis accesul deplin la site cu drepturi de administrator.

În timpul modificării, atacatorii au adăugat fișierul „initial.php” în arhivele cu pluginuri și teme, care a fost conectat prin directiva „include” în fișierul „functions.php”. Pentru a încurca traseul, conținutul rău intenționat din fișierul „initial.php” a fost camuflat ca un bloc de date codificat în base64. Inserarea rău intenționată, sub pretextul obținerii unei imagini de pe site-ul web wp-theme-connect.com, a încărcat direct codul backdoor în fișierul wp-includes/vars.php.

Backdoor în 93 de pluginuri și teme AccessPress utilizate pe 360 ​​de mii de site-uri
Backdoor în 93 de pluginuri și teme AccessPress utilizate pe 360 ​​de mii de site-uri

Primele site-uri care au inclus modificări rău intenționate la suplimentele AccessPress au fost identificate în septembrie 2021. Se presupune că atunci a fost introdus ușa din spate în suplimente. Prima notificare către AccessPress despre problema identificată a rămas fără răspuns, iar AccessPress a reușit să atragă atenția doar după implicarea echipei WordPress.org în investigație. Pe 15 octombrie 2021, arhivele afectate de backdoor au fost eliminate de pe site-ul AccessPress, iar noi versiuni ale suplimentelor au fost lansate pe 17 ianuarie 2022.

Sucuri a examinat separat site-urile pe care au fost instalate versiuni afectate de AccessPress și a identificat prezența modulelor rău intenționate încărcate printr-o ușă din spate care a trimis spam și a redirecționat tranziții către site-uri frauduloase (modulele au fost datate 2019 și 2020). Se presupune că autorii ușii din spate vindeau acces la site-uri compromise.

Teme care conțin înlocuirea backdoor:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-parallax 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • agentie-lite 1.1.6
  • aplite 1.0.6
  • bingle 1.0.4
  • blogger 1.2.6
  • constructii-lite 1.2.5
  • doko 1.0.27
  • luminează 1.3.5
  • magazin de modă 1.2.1
  • fotografie 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • un spațiu 2.2.8
  • parallax-blog 3.1.1574941215
  • paralaxsome 1.3.6
  • punte 1.1.2
  • se învârte 1.3.1
  • undă 1.2.0
  • scrollme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • lansatorul 1.3.2
  • Luni 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-cosmetice 1.0.5
  • zigcy-lite 2.0.9

Pluginuri în care a fost detectată înlocuirea backdoor:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-icoane 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icoane-lite 1.0.9
  • ap-companion 1.0.7 2
  • ap-contact-form 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-meniu 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • comments-disable-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • product-slider-for-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • posturi-scroll-inteligente 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-floating-meniu 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Sursa: opennet.ru

Adauga un comentariu