ผู้โจมตีสามารถฝังแบ็คดอร์ลงในปลั๊กอิน 40 ตัวและ 53 ธีมสำหรับระบบจัดการเนื้อหา WordPress ที่พัฒนาโดย AccessPress ซึ่งอ้างว่ามีการใช้ส่วนเสริมในไซต์มากกว่า 360 แห่ง ยังไม่ได้ให้ผลลัพธ์ของการวิเคราะห์เหตุการณ์ แต่สันนิษฐานว่ามีการแนะนำโค้ดที่เป็นอันตรายในระหว่างการบุกรุกเว็บไซต์ AccessPress โดยทำการเปลี่ยนแปลงไฟล์เก็บถาวรที่เสนอให้ดาวน์โหลดพร้อมกับรีลีสที่เผยแพร่แล้ว เนื่องจากมีแบ็คดอร์อยู่ เฉพาะในโค้ดที่เผยแพร่ผ่านเว็บไซต์ AccessPress อย่างเป็นทางการ แต่ไม่มีในส่วนเสริมรุ่นเดียวกันที่เผยแพร่ผ่านไดเรกทอรี WordPress.org
การเปลี่ยนแปลงที่เป็นอันตรายถูกค้นพบโดยนักวิจัยที่ JetPack (แผนกหนึ่งของนักพัฒนา WordPress Automatic) ในขณะที่ตรวจสอบโค้ดที่เป็นอันตรายที่พบในเว็บไซต์ของลูกค้า การวิเคราะห์สถานการณ์พบว่ามีการเปลี่ยนแปลงที่เป็นอันตรายในส่วนเสริม WordPress ที่ดาวน์โหลดจากเว็บไซต์ AccessPress อย่างเป็นทางการ ส่วนเสริมอื่นๆ จากผู้ผลิตรายเดียวกันอาจมีการแก้ไขที่เป็นอันตรายซึ่งทำให้สามารถเข้าถึงไซต์ได้เต็มรูปแบบด้วยสิทธิ์ของผู้ดูแลระบบ
ในระหว่างการแก้ไข ผู้โจมตีได้เพิ่มไฟล์ “initial.php” ลงในไฟล์เก็บถาวรที่มีปลั๊กอินและธีม ซึ่งเชื่อมต่อผ่านคำสั่ง “include” ในไฟล์ “functions.php” เพื่อสร้างความสับสนให้กับเส้นทาง เนื้อหาที่เป็นอันตรายในไฟล์ “initial.php” จึงถูกพรางตัวเป็นบล็อกข้อมูลที่เข้ารหัส base64 ส่วนแทรกที่เป็นอันตรายซึ่งปลอมแปลงเป็นการรับรูปภาพจากเว็บไซต์ wp-theme-connect.com ได้โหลดโค้ดแบ็คดอร์โดยตรงลงในไฟล์ wp-includes/vars.php
ไซต์แรกๆ ที่รวมการเปลี่ยนแปลงที่เป็นอันตรายต่อส่วนเสริม AccessPress ถูกระบุในเดือนกันยายน 2021 สันนิษฐานว่าเป็นตอนนั้นที่ประตูหลังถูกแทรกเข้าไปในส่วนเสริม การแจ้งเตือนครั้งแรกถึง AccessPress เกี่ยวกับปัญหาที่ระบุไม่ได้รับคำตอบ และ AccessPress สามารถรับความสนใจได้หลังจากให้ทีม WordPress.org เข้ามามีส่วนร่วมในการสืบสวนเท่านั้น ในวันที่ 15 ตุลาคม 2021 ไฟล์เก็บถาวรที่ได้รับผลกระทบจากแบ็คดอร์จะถูกลบออกจากเว็บไซต์ AccessPress และส่วนเสริมเวอร์ชันใหม่เปิดตัวในวันที่ 17 มกราคม 2022
Sucuri ตรวจสอบไซต์แยกต่างหากซึ่งมีการติดตั้ง AccessPress เวอร์ชันที่ได้รับผลกระทบ และระบุการมีอยู่ของโมดูลที่เป็นอันตรายซึ่งโหลดผ่านประตูหลังที่ส่งสแปมและเปลี่ยนเส้นทางการเปลี่ยนเส้นทางไปยังไซต์หลอกลวง (โมดูลลงวันที่ 2019 และ 2020) สันนิษฐานว่าผู้เขียนแบ็คดอร์กำลังขายการเข้าถึงไซต์ที่ถูกบุกรุก
ธีมที่มีการบันทึกการแทนที่แบ็คดอร์:
- แอคเซสบัดดี้ 1.0.0
- accesspress-พื้นฐาน 3.2.1
- แอคเซสเพรส-ไลท์ 2.92
- accesspress-mag 2.6.5
- accesspress-พารัลแลกซ์ 4.5
- แอคเซสเพรสเรย์ 1.19.5
- การเข้าถึงรูต 2.5
- accesspress-หลัก 1.9.1
- accesspress-store 2.4.9
- เอเจนซี่ไลต์ 1.1.6
- แอปไลท์ 1.0.6
- บิงเกิล 1.0.4
- บล็อกเกอร์ 1.2.6
- ก่อสร้างไลต์ 1.2.5
- โดโกะ 1.0.27
- ให้ความกระจ่าง 1.3.5
- ร้านค้าแฟชั่น 1.2.1
- การถ่ายภาพ 2.4.0
- กาก้าคอร์ป 1.0.8
- กาก้า-ไลท์ 1.4.2
- ช่องว่างเดียว 2.2.8
- บล็อกพารัลแลกซ์ 3.1.1574941215
- เหลื่อมล้ำ 1.3.6
- พันเต้ 1.1.2
- หมุน 1.3.1
- ระลอก 1.2.0
- เลื่อนฉัน 2.1.0
- สปอร์ตแม็ก 1.2.1
- วิลล่าสโตร์ 1.4.1
- สวิงไลต์ 1.1.9
- ตัวเรียกใช้งาน 1.3.2
- วันจันทร์ 1.4.1
- ถอดรหัสไลต์ 1.3.1
- ยูนิคอนไลต์ 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-ข่าว 1.0.5
- zigcy-baby 1.0.6
- zigcy-เครื่องสำอาง 1.0.5
- ซิกซี่ไลต์ 2.0.9
ปลั๊กอินที่ตรวจพบการแทนที่แบ็คดอร์:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-กำหนดเอง-css 2.0.1 2.0.2
- accesspress-custom-post-type 1.0.8 1.0.9
- accesspress-facebook-โพสต์อัตโนมัติ 2.1.3 2.1.4
- เข้าถึงกด Instagram ฟีด 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-social-เคาน์เตอร์ 1.9.1 1.9.2
- accesspress-social-ไอคอน 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- เข้าถึงกดโซเชียลแชร์ 4.5.5 4.5.6
- accesspress-twitter-โพสต์อัตโนมัติ 1.4.5 1.4.6
- accesspress-twitter-ฟีด 1.6.7 1.6.8
- ak-เมนู-ไอคอน-lite 1.0.9
- แอพสหาย 1.0.7 2
- ap-contact-form 1.0.6 1.0.7
- ap-กำหนดเอง-รับรอง 1.4.6 1.4.7
- แอพเมกะเมนู 3.0.5 3.0.6
- ap-ราคาตาราง-lite 1.1.2 1.1.3
- เอเพ็กซ์แจ้งเตือนบาร์ไลต์ 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- ความคิดเห็นปิดการใช้งาน accesspress 1.0.7 1.0.8
- easy-side-tab-cta 1.0.7 1.0.8
- everest-admin-theme-lite 1.0.7 1.0.8
- เอเวอร์เรสมาเร็ว ๆ นี้ lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- เอเวอร์เรสเคาน์เตอร์ไลต์ 2.0.7 2.0.8
- everest-คำถามที่พบบ่อย-ผู้จัดการ-lite 1.0.8 1.0.9
- everest-gallery-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- เอเวอร์เรสรีวิวไลต์ 1.0.7
- เอเวอร์เรสแท็บไลต์ 2.0.3 2.0.4
- เอเวอร์เรสไทม์ไลน์ไลต์ 1.1.1 1.1.2
- คำกระตุ้นการตัดสินใจแบบอินไลน์ 1.1.0 1.1.1
- ผลิตภัณฑ์ตัวเลื่อนสำหรับ woocommerce-lite 1.1.5 1.1.6
- สมาร์ทโลโก้โชว์เคสไลต์ 1.1.7 1.1.8
- โพสต์เลื่อนอัจฉริยะ 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- Total-gdpr-compliance-lite 1.0.4
- รวมทีมไลต์ 1.1.1 1.1.2
- สุดยอดผู้เขียนกล่องไลต์ 1.1.2 1.1.3
- สุดยอดฟอร์มสร้างไลต์ 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-สไลเดอร์ 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-cookie-ข้อมูลผู้ใช้ 1.0.7 1.0.8
- wp-facebook-รีวิว-showcase-lite 1.0.9
- wp-fb-messenger-ปุ่ม-lite 2.0.7
- wp-เมนูลอย 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-ป๊อปอัป-แบนเนอร์ 1.2.3 1.2.4
- wp-ป๊อปอัพ-ไลท์ 1.0.8
- wp-ผลิตภัณฑ์-แกลเลอรี-lite 1.1.1
ที่มา: opennet.ru