ProHoster > blogg > internetnyheter > Bakdörr i 93 AccessPress-plugin-program och teman som används på 360 XNUMX webbplatser

Bakdörr i 93 AccessPress-plugin-program och teman som används på 360 XNUMX webbplatser

Angriparna lyckades bädda in en bakdörr i 40 plugins och 53 teman för WordPress innehållshanteringssystem, utvecklat av AccessPress, som hävdar att dess tillägg används på mer än 360 tusen webbplatser. Resultaten av analysen av incidenten har ännu inte tillhandahållits, men det antas att den skadliga koden introducerades under kompromissen av AccessPress-webbplatsen, vilket gjorde ändringar i arkiven som erbjuds för nedladdning med redan släppta versioner, eftersom bakdörren är närvarande endast i koden som distribueras via den officiella AccessPress-webbplatsen, men saknas i samma versioner av tillägg som distribueras via WordPress.org-katalogen.

De skadliga ändringarna upptäcktes av en forskare vid JetPack (en avdelning av WordPress-utvecklaren Automatic) medan han undersökte skadlig kod som hittats på en kunds webbplats. En analys av situationen visade att skadliga ändringar fanns i WordPress-tillägget som laddades ner från den officiella AccessPress-webbplatsen. Andra tillägg från samma tillverkare var också föremål för skadliga ändringar som gav full åtkomst till webbplatsen med administratörsrättigheter.

Under modifieringen lade angriparna till filen "initial.php" till arkiven med plugins och teman, som kopplades ihop via "inkludera"-direktivet i filen "functions.php". För att förvirra spåret kamouflerades det skadliga innehållet i filen "initial.php" som ett base64-kodat datablock. Den skadliga infogningen, under sken av att få en bild från webbplatsen wp-theme-connect.com, laddade bakdörrskoden direkt in i filen wp-includes/vars.php.

Bakdörr i 93 AccessPress-plugin-program och teman som används på 360 XNUMX webbplatser
Bakdörr i 93 AccessPress-plugin-program och teman som används på 360 XNUMX webbplatser

De första webbplatserna som inkluderade skadliga ändringar av AccessPress-tillägg identifierades i september 2021. Det antas att det var då som bakdörren sattes in i tilläggen. Det första meddelandet till AccessPress om det identifierade problemet förblev obesvarat, och AccessPress kunde bara få uppmärksamhet efter att ha involverat WordPress.org-teamet i utredningen. Den 15 oktober 2021 togs arkiven som påverkas av bakdörren bort från AccessPress-webbplatsen och nya versioner av tilläggen släpptes den 17 januari 2022.

Sucuri undersökte separat webbplatser där påverkade versioner av AccessPress installerades och identifierade förekomsten av skadliga moduler laddade genom en bakdörr som skickade skräppost och omdirigerade övergångar till bedrägliga webbplatser (modulerna var daterade 2019 och 2020). Det antas att författarna till bakdörren sålde åtkomst till komprometterade webbplatser.

Teman som innehåller bakdörrsersättningen:

  • accessbuddy 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-parallax 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • agentur-lite 1.1.6
  • aplit 1.0.6
  • bingle 1.0.4
  • bloggare 1.2.6
  • konstruktion-lite 1.2.5
  • doko 1.0.27
  • upplysa 1.3.5
  • fashstore 1.2.1
  • fotografering 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • ett utrymme 2.2.8
  • parallax-blogg 3.1.1574941215
  • parallaxsome 1.3.6
  • poäng 1.1.2
  • rotera 1.3.1
  • rippel 1.2.0
  • scrollme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • startprogrammet 1.3.2
  • måndagen 1.4.1
  • uncode-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-kosmetik 1.0.5
  • zigcy-lite 2.0.9

Plugins där bakdörrsersättning upptäcktes:

  • accesspress-anonymt-inlägg 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-ikoner 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-companion 1.0.7 2
  • ap-kontakt-formulär 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-meny 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-butik-till-db-lite 1.0.9 1.1.0
  • comments-disable-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • inline-call-to-action-builder-lite 1.1.0 1.1.1
  • produkt-skjutreglage-för-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-inlägg 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • total-team-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-flytande-meny 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Källa: opennet.ru

Lägg en kommentar