โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > แบ็คดอร์ในปลั๊กอินและธีมของ AccessPress 93 รายการที่ใช้ในไซต์ 360 แห่ง

แบ็คดอร์ในปลั๊กอินและธีมของ AccessPress 93 รายการที่ใช้ในไซต์ 360 แห่ง

ผู้โจมตีสามารถฝังแบ็คดอร์ลงในปลั๊กอิน 40 ตัวและ 53 ธีมสำหรับระบบจัดการเนื้อหา WordPress ที่พัฒนาโดย AccessPress ซึ่งอ้างว่ามีการใช้ส่วนเสริมในไซต์มากกว่า 360 แห่ง ยังไม่ได้ให้ผลลัพธ์ของการวิเคราะห์เหตุการณ์ แต่สันนิษฐานว่ามีการแนะนำโค้ดที่เป็นอันตรายในระหว่างการบุกรุกเว็บไซต์ AccessPress โดยทำการเปลี่ยนแปลงไฟล์เก็บถาวรที่เสนอให้ดาวน์โหลดพร้อมกับรีลีสที่เผยแพร่แล้ว เนื่องจากมีแบ็คดอร์อยู่ เฉพาะในโค้ดที่เผยแพร่ผ่านเว็บไซต์ AccessPress อย่างเป็นทางการ แต่ไม่มีในส่วนเสริมรุ่นเดียวกันที่เผยแพร่ผ่านไดเรกทอรี WordPress.org

การเปลี่ยนแปลงที่เป็นอันตรายถูกค้นพบโดยนักวิจัยที่ JetPack (แผนกหนึ่งของนักพัฒนา WordPress Automatic) ในขณะที่ตรวจสอบโค้ดที่เป็นอันตรายที่พบในเว็บไซต์ของลูกค้า การวิเคราะห์สถานการณ์พบว่ามีการเปลี่ยนแปลงที่เป็นอันตรายในส่วนเสริม WordPress ที่ดาวน์โหลดจากเว็บไซต์ AccessPress อย่างเป็นทางการ ส่วนเสริมอื่นๆ จากผู้ผลิตรายเดียวกันอาจมีการแก้ไขที่เป็นอันตรายซึ่งทำให้สามารถเข้าถึงไซต์ได้เต็มรูปแบบด้วยสิทธิ์ของผู้ดูแลระบบ

ในระหว่างการแก้ไข ผู้โจมตีได้เพิ่มไฟล์ “initial.php” ลงในไฟล์เก็บถาวรที่มีปลั๊กอินและธีม ซึ่งเชื่อมต่อผ่านคำสั่ง “include” ในไฟล์ “functions.php” เพื่อสร้างความสับสนให้กับเส้นทาง เนื้อหาที่เป็นอันตรายในไฟล์ “initial.php” จึงถูกพรางตัวเป็นบล็อกข้อมูลที่เข้ารหัส base64 ส่วนแทรกที่เป็นอันตรายซึ่งปลอมแปลงเป็นการรับรูปภาพจากเว็บไซต์ wp-theme-connect.com ได้โหลดโค้ดแบ็คดอร์โดยตรงลงในไฟล์ wp-includes/vars.php

แบ็คดอร์ในปลั๊กอินและธีมของ AccessPress 93 รายการที่ใช้ในไซต์ 360 แห่ง
แบ็คดอร์ในปลั๊กอินและธีมของ AccessPress 93 รายการที่ใช้ในไซต์ 360 แห่ง

ไซต์แรกๆ ที่รวมการเปลี่ยนแปลงที่เป็นอันตรายต่อส่วนเสริม AccessPress ถูกระบุในเดือนกันยายน 2021 สันนิษฐานว่าเป็นตอนนั้นที่ประตูหลังถูกแทรกเข้าไปในส่วนเสริม การแจ้งเตือนครั้งแรกถึง AccessPress เกี่ยวกับปัญหาที่ระบุไม่ได้รับคำตอบ และ AccessPress สามารถรับความสนใจได้หลังจากให้ทีม WordPress.org เข้ามามีส่วนร่วมในการสืบสวนเท่านั้น ในวันที่ 15 ตุลาคม 2021 ไฟล์เก็บถาวรที่ได้รับผลกระทบจากแบ็คดอร์จะถูกลบออกจากเว็บไซต์ AccessPress และส่วนเสริมเวอร์ชันใหม่เปิดตัวในวันที่ 17 มกราคม 2022

Sucuri ตรวจสอบไซต์แยกต่างหากซึ่งมีการติดตั้ง AccessPress เวอร์ชันที่ได้รับผลกระทบ และระบุการมีอยู่ของโมดูลที่เป็นอันตรายซึ่งโหลดผ่านประตูหลังที่ส่งสแปมและเปลี่ยนเส้นทางการเปลี่ยนเส้นทางไปยังไซต์หลอกลวง (โมดูลลงวันที่ 2019 และ 2020) สันนิษฐานว่าผู้เขียนแบ็คดอร์กำลังขายการเข้าถึงไซต์ที่ถูกบุกรุก

ธีมที่มีการบันทึกการแทนที่แบ็คดอร์:

  • แอคเซสบัดดี้ 1.0.0
  • accesspress-พื้นฐาน 3.2.1
  • แอคเซสเพรส-ไลท์ 2.92
  • accesspress-mag 2.6.5
  • accesspress-พารัลแลกซ์ 4.5
  • แอคเซสเพรสเรย์ 1.19.5
  • การเข้าถึงรูต 2.5
  • accesspress-หลัก 1.9.1
  • accesspress-store 2.4.9
  • เอเจนซี่ไลต์ 1.1.6
  • แอปไลท์ 1.0.6
  • บิงเกิล 1.0.4
  • บล็อกเกอร์ 1.2.6
  • ก่อสร้างไลต์ 1.2.5
  • โดโกะ 1.0.27
  • ให้ความกระจ่าง 1.3.5
  • ร้านค้าแฟชั่น 1.2.1
  • การถ่ายภาพ 2.4.0
  • กาก้าคอร์ป 1.0.8
  • กาก้า-ไลท์ 1.4.2
  • ช่องว่างเดียว 2.2.8
  • บล็อกพารัลแลกซ์ 3.1.1574941215
  • เหลื่อมล้ำ 1.3.6
  • พันเต้ 1.1.2
  • หมุน 1.3.1
  • ระลอก 1.2.0
  • เลื่อนฉัน 2.1.0
  • สปอร์ตแม็ก 1.2.1
  • วิลล่าสโตร์ 1.4.1
  • สวิงไลต์ 1.1.9
  • ตัวเรียกใช้งาน 1.3.2
  • วันจันทร์ 1.4.1
  • ถอดรหัสไลต์ 1.3.1
  • ยูนิคอนไลต์ 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-ข่าว 1.0.5
  • zigcy-baby 1.0.6
  • zigcy-เครื่องสำอาง 1.0.5
  • ซิกซี่ไลต์ 2.0.9

ปลั๊กอินที่ตรวจพบการแทนที่แบ็คดอร์:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-กำหนดเอง-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-โพสต์อัตโนมัติ 2.1.3 2.1.4
  • เข้าถึงกด Instagram ฟีด 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-เคาน์เตอร์ 1.9.1 1.9.2
  • accesspress-social-ไอคอน 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • เข้าถึงกดโซเชียลแชร์ 4.5.5 4.5.6
  • accesspress-twitter-โพสต์อัตโนมัติ 1.4.5 1.4.6
  • accesspress-twitter-ฟีด 1.6.7 1.6.8
  • ak-เมนู-ไอคอน-lite 1.0.9
  • แอพสหาย 1.0.7 2
  • ap-contact-form 1.0.6 1.0.7
  • ap-กำหนดเอง-รับรอง 1.4.6 1.4.7
  • แอพเมกะเมนู 3.0.5 3.0.6
  • ap-ราคาตาราง-lite 1.1.2 1.1.3
  • เอเพ็กซ์แจ้งเตือนบาร์ไลต์ 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • ความคิดเห็นปิดการใช้งาน accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • เอเวอร์เรสมาเร็ว ๆ นี้ lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • เอเวอร์เรสเคาน์เตอร์ไลต์ 2.0.7 2.0.8
  • everest-คำถามที่พบบ่อย-ผู้จัดการ-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • เอเวอร์เรสรีวิวไลต์ 1.0.7
  • เอเวอร์เรสแท็บไลต์ 2.0.3 2.0.4
  • เอเวอร์เรสไทม์ไลน์ไลต์ 1.1.1 1.1.2
  • คำกระตุ้นการตัดสินใจแบบอินไลน์ 1.1.0 1.1.1
  • ผลิตภัณฑ์ตัวเลื่อนสำหรับ woocommerce-lite 1.1.5 1.1.6
  • สมาร์ทโลโก้โชว์เคสไลต์ 1.1.7 1.1.8
  • โพสต์เลื่อนอัจฉริยะ 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • Total-gdpr-compliance-lite 1.0.4
  • รวมทีมไลต์ 1.1.1 1.1.2
  • สุดยอดผู้เขียนกล่องไลต์ 1.1.2 1.1.3
  • สุดยอดฟอร์มสร้างไลต์ 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-สไลเดอร์ 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-ข้อมูลผู้ใช้ 1.0.7 1.0.8
  • wp-facebook-รีวิว-showcase-lite 1.0.9
  • wp-fb-messenger-ปุ่ม-lite 2.0.7
  • wp-เมนูลอย 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-ป๊อปอัป-แบนเนอร์ 1.2.3 1.2.4
  • wp-ป๊อปอัพ-ไลท์ 1.0.8
  • wp-ผลิตภัณฑ์-แกลเลอรี-lite 1.1.1

ที่มา: opennet.ru

เพิ่มความคิดเห็น