ProHoster > Blog > internetne novice > Backdoor v 93 vtičnikih in temah AccessPress, ki se uporabljajo na 360 tisoč spletnih mestih

Backdoor v 93 vtičnikih in temah AccessPress, ki se uporabljajo na 360 tisoč spletnih mestih

Napadalcem je uspelo vgraditi stranska vrata v 40 vtičnikov in 53 tem za sistem za upravljanje vsebin WordPress, ki ga je razvil AccessPress, ki trdi, da se njegovi dodatki uporabljajo na več kot 360 tisoč spletnih mestih. Rezultati analize incidenta še niso bili posredovani, domneva pa se, da je bila zlonamerna koda vnesena med vdorom v spletno stran AccessPress, pri čemer je spremenila arhive, ki so na voljo za prenos z že izdanimi izdajami, saj so prisotna zadnja vrata samo v kodi, ki se distribuira prek uradnega spletnega mesta AccessPress, vendar je ni v tistih istih izdajah dodatkov, ki se distribuirajo prek imenika WordPress.org.

Zlonamerne spremembe je odkril raziskovalec pri JetPack (oddelek razvijalca WordPress Automatic), medtem ko je preiskoval zlonamerno kodo, najdeno na spletnem mestu odjemalca. Analiza stanja je pokazala, da so zlonamerne spremembe prisotne v dodatku WordPress, prenesenem z uradne spletne strani AccessPress. Tudi drugi dodatki istega proizvajalca so bili predmet zlonamernih sprememb, ki so omogočale popoln dostop do spletnega mesta s skrbniškimi pravicami.

Med modifikacijo so napadalci v arhive z vtičniki in temami dodali datoteko “initial.php”, ki je bila povezana preko direktive “include” v datoteki “functions.php”. Da bi zmešali sled, je bila zlonamerna vsebina v datoteki »initial.php« zakamuflirana kot blok podatkov, kodiran base64. Zlonamerni vložek je pod krinko pridobivanja slike s spletne strani wp-theme-connect.com neposredno naložil stransko kodo v datoteko wp-includes/vars.php.

Backdoor v 93 vtičnikih in temah AccessPress, ki se uporabljajo na 360 tisoč spletnih mestih
Backdoor v 93 vtičnikih in temah AccessPress, ki se uporabljajo na 360 tisoč spletnih mestih

Prva spletna mesta, ki so vključevala zlonamerne spremembe dodatkov AccessPress, so bila odkrita septembra 2021. Predvideva se, da so bila takrat backdoor vstavljena v dodatke. Prvo obvestilo AccessPressu o ugotovljeni težavi je ostalo brez odgovora in AccessPress je lahko pritegnil pozornost šele, ko je v preiskavo vključil ekipo WordPress.org. 15. oktobra 2021 so bili arhivi, ki so jih prizadela zadnja vrata, odstranjeni s spletnega mesta AccessPress, nove različice dodatkov pa so bile izdane 17. januarja 2022.

Sucuri je ločeno pregledal spletna mesta, na katerih so bile nameščene prizadete različice AccessPress, in ugotovil prisotnost zlonamernih modulov, naloženih skozi stranska vrata, ki so pošiljali neželeno pošto in preusmerjali prehode na goljufiva mesta (modula sta bila datirana iz let 2019 in 2020). Domneva se, da so avtorji zakulisnih vrat prodajali dostop do ogroženih strani.

Teme, ki vsebujejo zamenjavo backdoor:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-paralaksa 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-spenjalnik 1.9.1
  • accesspress-store 2.4.9
  • agencija-lite 1.1.6
  • aplite 1.0.6
  • bingle 1.0.4
  • bloger 1.2.6
  • konstrukcija-lite 1.2.5
  • doko 1.0.27
  • razsvetli 1.3.5
  • hitra trgovina 1.2.1
  • fotografija 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • enoprostorski 2.2.8
  • paralaksa-blog 3.1.1574941215
  • paralaksoma 1.3.6
  • punte 1.1.2
  • vrti se 1.3.1
  • valovanje 1.2.0
  • scrollme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • zaganjalnik 1.3.2
  • ponedeljek 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-novice 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-cosmetics 1.0.5
  • zigcy-lite 2.0.9

Vtičniki, v katerih je bila zaznana zamenjava stranskih vrat:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-icons 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-spremljevalec 1.0.7 2
  • ap-kontaktni obrazec 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-meni 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • comments-disable-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • product-slider-for-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-posts 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-drsnik 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-plavajoči-meni 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-pasice 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Vir: opennet.ru

Dodaj komentar