Útočníkom sa podarilo vložiť zadné vrátka do 40 pluginov a 53 tém pre redakčný systém WordPress vyvinutý spoločnosťou AccessPress, ktorý tvrdí, že jeho doplnky sa používajú na viac ako 360-tisíc stránkach. Výsledky analýzy incidentu ešte neboli poskytnuté, ale predpokladá sa, že škodlivý kód bol zavedený počas kompromitácie webovej stránky AccessPress, pričom sa vykonali zmeny v archívoch ponúkaných na stiahnutie s už vydanými vydaniami, pretože zadné vrátka sú prítomné iba v kóde distribuovanom prostredníctvom oficiálnej webovej stránky AccessPress, ale chýba v tých istých vydaniach doplnkov distribuovaných prostredníctvom adresára WordPress.org.
Škodlivé zmeny objavil výskumník v JetPack (divízia WordPress developer Automatic) pri skúmaní škodlivého kódu nájdeného na webovej stránke klienta. Analýza situácie ukázala, že v doplnku WordPress stiahnutom z oficiálnej webovej stránky AccessPress boli prítomné škodlivé zmeny. Iné doplnky od rovnakého výrobcu boli tiež predmetom škodlivých úprav, ktoré umožňovali plný prístup na stránku s právami správcu.
Útočníci pri úprave pridali do archívov s pluginmi a témami súbor “initial.php”, ktorý bol pripojený cez direktívu “include” v súbore “functions.php”. Na zmätenie stopy bol škodlivý obsah v súbore „initial.php“ maskovaný ako blok údajov zakódovaný v base64. Škodlivá vložka pod zámienkou získania obrázka z webovej stránky wp-theme-connect.com priamo načítala kód backdoor do súboru wp-includes/vars.php.
Prvé stránky, ktoré obsahovali škodlivé zmeny v doplnkoch AccessPress, boli identifikované v septembri 2021. Predpokladá sa, že práve vtedy boli zadné vrátka vložené do doplnkov. Prvé oznámenie spoločnosti AccessPress o zistenom probléme zostalo bez odpovede a AccessPress bol schopný upútať pozornosť až po zapojení tímu WordPress.org do vyšetrovania. 15. októbra 2021 boli z webovej stránky AccessPress odstránené archívy ovplyvnené zadnými vrátkami a 17. januára 2022 boli vydané nové verzie doplnkov.
Spoločnosť Sucuri samostatne preskúmala stránky, na ktorých boli nainštalované dotknuté verzie AccessPress, a identifikovala prítomnosť škodlivých modulov načítaných cez zadné vrátka, ktoré odosielali spam a presmerovali prechody na podvodné stránky (moduly boli datované v rokoch 2019 a 2020). Predpokladá sa, že autori zadných vrátok predávali prístup na napadnuté stránky.
Témy, v ktorých je nahraté zadné vrátka:
- accessbuddy 1.0.0
- accesspress-basic 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-paralaxa 4.5
- accesspress-ray 1.19.5
- accesspress-root 2.5
- accesspress-staple 1.9.1
- accesspress-store 2.4.9
- agency-lite 1.1.6
- aplite 1.0.6
- dvojka 1.0.4
- bloger 1.2.6
- construction-lite 1.2.5
- doko 1.0.27
- osvietiť 1.3.5
- rýchly obchod 1.2.1
- fotografovanie 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- jednomiestna 2.2.8
- paralaxa-blog 3.1.1574941215
- paralaxóm 1.3.6
- punte 1.1.2
- otočiť 1.3.1
- zvlnenie 1.2.0
- scrollme 2.1.0
- sportsmag 1.2.1
- storevilla 1.4.1
- swing-lite 1.1.9
- spúšťač 1.3.2
- v pondelok 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-news 1.0.5
- zigcy-baby 1.0.6
- zigcy-cosmetics 1.0.5
- zigcy-lite 2.0.9
Pluginy, v ktorých bola zistená substitúcia zadných vrátok:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-type 1.0.8 1.0.9
- accesspress-facebook-auto-post 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-social-counter 1.9.1 1.9.2
- accesspress-social-icons 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- accesspress-social-share 4.5.5 4.5.6
- accesspress-twitter-auto-post 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-icons-lite 1.0.9
- ap-companion 1.0.7 2
- ap-contact-form 1.0.6 1.0.7
- ap-custom-testimonial 1.4.6 1.4.7
- ap-mega-menu 3.0.5 3.0.6
- ap-pricing-tables-lite 1.1.2 1.1.3
- apex-notification-bar-lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- comments-disable-accesspress 1.0.7 1.0.8
- easy-side-tab-cta 1.0.7 1.0.8
- everest-admin-theme-lite 1.0.7 1.0.8
- everest-coming-soon-lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- everest-counter-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-gallery-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-review-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inline-call-to-action-builder-lite 1.1.0 1.1.1
- product-slider-for-woocommerce-lite 1.1.5 1.1.6
- smart-logo-showcase-lite 1.1.7 1.1.8
- smart-scroll-posts 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- total-team-lite 1.1.1 1.1.2
- konečný-autor-box-lite 1.1.2 1.1.3
- ultimate-form-builder-lite 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-slider 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-cookie-user-info 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- wp-floating-menu 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-popup-banners 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-gallery-lite 1.1.1
Zdroj: opennet.ru