Nagawa ng mga umaatake na mag-embed ng backdoor sa 40 plugin at 53 na tema para sa WordPress content management system, na binuo ng AccessPress, na nagsasabing ang mga add-on nito ay ginagamit sa higit sa 360 libong mga site. Ang mga resulta ng pagsusuri ng insidente ay hindi pa naibigay, ngunit ipinapalagay na ang malisyosong code ay ipinakilala sa panahon ng kompromiso ng website ng AccessPress, na gumagawa ng mga pagbabago sa mga archive na inaalok para sa pag-download na may mga inilabas na release, dahil ang backdoor ay naroroon. lamang sa code na ibinahagi sa pamamagitan ng opisyal na website ng AccessPress, ngunit wala sa mga parehong paglabas ng mga add-on na ipinamahagi sa pamamagitan ng WordPress.org na direktoryo.
Ang mga nakakahamak na pagbabago ay natuklasan ng isang mananaliksik sa JetPack (isang dibisyon ng Awtomatikong developer ng WordPress) habang sinusuri ang nakakahamak na code na matatagpuan sa website ng isang kliyente. Ang isang pagsusuri sa sitwasyon ay nagpakita na ang mga nakakahamak na pagbabago ay naroroon sa WordPress add-on na na-download mula sa opisyal na website ng AccessPress. Ang iba pang mga add-on mula sa parehong tagagawa ay napapailalim din sa mga nakakahamak na pagbabago na nagpapahintulot sa ganap na pag-access sa site na may mga karapatan ng administrator.
Sa panahon ng pagbabago, idinagdag ng mga umaatake ang "initial.php" na file sa mga archive na may mga plugin at tema, na konektado sa pamamagitan ng "include" na direktiba sa "functions.php" file. Upang malito ang trail, ang nakakahamak na nilalaman sa "initial.php" na file ay na-camouflaged bilang base64 na naka-encode na bloke ng data. Ang nakakahamak na insert, sa ilalim ng pagkukunwari ng pagkuha ng isang imahe mula sa website na wp-theme-connect.com, direktang nag-load ng backdoor code sa wp-includes/vars.php file.
Ang mga unang site na may kasamang mga nakakahamak na pagbabago sa AccessPress add-on ay natukoy noong Setyembre 2021. Ipinapalagay na noon na ang backdoor ay ipinasok sa mga add-on. Ang unang abiso sa AccessPress tungkol sa natukoy na problema ay hindi nasagot, at ang AccessPress ay nakakuha lamang ng atensyon pagkatapos na maisama ang WordPress.org team sa pagsisiyasat. Noong Oktubre 15, 2021, inalis ang mga archive na apektado ng backdoor sa website ng AccessPress, at ang mga bagong bersyon ng mga add-on ay inilabas noong Enero 17, 2022.
Hiwalay na sinuri ng Sucuri ang mga site kung saan na-install ang mga apektadong bersyon ng AccessPress at natukoy ang pagkakaroon ng mga nakakahamak na module na na-load sa pamamagitan ng backdoor na nagpadala ng spam at nag-redirect ng mga transition sa mga mapanlinlang na site (ang mga module ay may petsang 2019 at 2020). Ipinapalagay na ang mga may-akda ng backdoor ay nagbebenta ng access sa mga nakompromisong site.
Mga tema kung saan naitala ang backdoor substitution:
- accessbuddy 1.0.0
- accesspress-basic 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-parallax 4.5
- accesspress-ray 1.19.5
- accesspress-root 2.5
- accesspress-staple 1.9.1
- accesspress-store 2.4.9
- ahensya-lite 1.1.6
- aplite 1.0.6
- bingle 1.0.4
- blogger 1.2.6
- construction-lite 1.2.5
- doko 1.0.27
- maliwanagan 1.3.5
- fashstore 1.2.1
- photography 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- one-space 2.2.8
- paralaks-blog 3.1.1574941215
- paralakssome 1.3.6
- punte 1.1.2
- umikot 1.3.1
- ripple 1.2.0
- scrollme 2.1.0
- sportsmag 1.2.1
- storevilla 1.4.1
- swing-lite 1.1.9
- ang-launcher 1.3.2
- ang-lunes 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-news 1.0.5
- zigcy-baby 1.0.6
- zigcy-cosmetics 1.0.5
- zigcy-lite 2.0.9
Mga plugin kung saan nakita ang pagpapalit ng backdoor:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-type 1.0.8 1.0.9
- accesspress-facebook-auto-post 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-social-counter 1.9.1 1.9.2
- accesspress-social-icon 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- accesspress-social-share 4.5.5 4.5.6
- accesspress-twitter-auto-post 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-icons-lite 1.0.9
- ap-kasama 1.0.7 2
- ap-contact-form 1.0.6 1.0.7
- ap-custom-testimonial 1.4.6 1.4.7
- ap-mega-menu 3.0.5 3.0.6
- ap-pricing-tables-lite 1.1.2 1.1.3
- apex-notification-bar-lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- comments-disable-accesspress 1.0.7 1.0.8
- easy-side-tab-cta 1.0.7 1.0.8
- everest-admin-theme-lite 1.0.7 1.0.8
- everest-coming-soon-lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- everest-counter-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-gallery-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-review-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inline-call-to-action-builder-lite 1.1.0 1.1.1
- product-slider-for-woocommerce-lite 1.1.5 1.1.6
- smart-logo-showcase-lite 1.1.7 1.1.8
- smart-scroll-posts 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- kabuuang-team-lite 1.1.1 1.1.2
- ultimate-author-box-lite 1.1.2 1.1.3
- ultimate-form-builder-lite 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-slider 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-cookie-user-info 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- wp-floating-menu 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-popup-banners 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-gallery-lite 1.1.1
Pinagmulan: opennet.ru