Prohoster > Blog > tin tức mạng > Backdoor trong 93 plugin và chủ đề AccessPress được sử dụng trên 360 nghìn trang web

Backdoor trong 93 plugin và chủ đề AccessPress được sử dụng trên 360 nghìn trang web

Những kẻ tấn công đã tìm cách nhúng một cửa hậu vào 40 plugin và 53 chủ đề cho hệ thống quản lý nội dung WordPress do AccessPress phát triển. Hệ thống này tuyên bố rằng các tiện ích bổ sung của nó được sử dụng trên hơn 360 nghìn trang web. Kết quả phân tích vụ việc vẫn chưa được cung cấp, nhưng người ta cho rằng mã độc đã được đưa vào trong quá trình xâm nhập trang web AccessPress, thực hiện các thay đổi đối với các kho lưu trữ được cung cấp để tải xuống với các bản phát hành đã được phát hành, vì có cửa sau chỉ có trong mã được phân phối thông qua trang web AccessPress chính thức, nhưng không có trong các bản phát hành tiện ích bổ sung tương tự được phân phối qua thư mục WordPress.org.

Những thay đổi độc hại được phát hiện bởi một nhà nghiên cứu tại JetPack (một bộ phận của nhà phát triển WordPress Tự động) khi kiểm tra mã độc được tìm thấy trên trang web của khách hàng. Phân tích tình huống cho thấy những thay đổi độc hại đã xuất hiện trong tiện ích bổ sung WordPress được tải xuống từ trang web chính thức của AccessPress. Các tiện ích bổ sung khác từ cùng một nhà sản xuất cũng bị sửa đổi độc hại cho phép truy cập đầy đủ vào trang web với quyền quản trị viên.

Trong quá trình sửa đổi, những kẻ tấn công đã thêm tệp “initial.php” vào kho lưu trữ cùng với các plugin và chủ đề, được kết nối thông qua lệnh “include” trong tệp “functions.php”. Để gây nhầm lẫn, nội dung độc hại trong tệp “initial.php” đã được ngụy trang dưới dạng khối dữ liệu được mã hóa base64. Phần chèn độc hại, dưới chiêu bài lấy hình ảnh từ trang web wp-theme-connect.com, đã tải trực tiếp mã cửa sau vào tệp wp-includes/vars.php.

Backdoor trong 93 plugin và chủ đề AccessPress được sử dụng trên 360 nghìn trang web
Backdoor trong 93 plugin và chủ đề AccessPress được sử dụng trên 360 nghìn trang web

Các trang web đầu tiên chứa các thay đổi độc hại đối với tiện ích bổ sung AccessPress đã được xác định vào tháng 2021 năm 15. Người ta cho rằng chính lúc đó cửa sau đã được chèn vào các tiện ích bổ sung. Thông báo đầu tiên gửi tới AccessPress về vấn đề đã xác định đã không được trả lời và AccessPress chỉ có thể thu hút được sự chú ý sau khi mời nhóm WordPress.org tham gia cuộc điều tra. Vào ngày 2021 tháng 17 năm 2022, các kho lưu trữ bị ảnh hưởng bởi cửa sau đã bị xóa khỏi trang web AccessPress và các phiên bản mới của tiện ích bổ sung được phát hành vào ngày XNUMX tháng XNUMX năm XNUMX.

Sucuri đã kiểm tra riêng các trang web đã cài đặt phiên bản AccessPress bị ảnh hưởng và xác định sự hiện diện của các mô-đun độc hại được tải qua cửa sau gửi thư rác và chuyển hướng giới thiệu đến các trang web lừa đảo (các mô-đun này có niên đại 2019 và 2020). Người ta cho rằng tác giả của cửa sau đã bán quyền truy cập vào các trang web bị xâm nhập.

Các chủ đề trong đó việc thay thế cửa sau được ghi lại:

  • truy cập 1.0.0
  • accesspress-basic 3.2.1
  • accesspress-lite 2.92
  • truy cập-mag 2.6.5
  • accesspress-parallax 4.5
  • accesspress-ray 1.19.5
  • accesspress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • đại lý-lite 1.1.6
  • aplite 1.0.6
  • bingle 1.0.4
  • blogger 1.2.6
  • xây dựng-lite 1.2.5
  • doko 1.0.27
  • khai sáng 1.3.5
  • cửa hàng thời trang 1.2.1
  • nhiếp ảnh 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • một dấu cách 2.2.8
  • blog thị sai 3.1.1574941215
  • thị sai 1.3.6
  • trò chơi 1.1.2
  • xoay vòng 1.3.1
  • gợn sóng 1.2.0
  • cuộn tôi 2.1.0
  • thể thao 1.2.1
  • biệt thự 1.4.1
  • swing-lite 1.1.9
  • the-launcher 1.3.2
  • thứ hai 1.4.1
  • giải mã-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-news 1.0.5
  • zigcy-baby 1.0.6
  • mỹ phẩm zigcy 1.0.5
  • zigcy-lite 2.0.9

Các plugin đã phát hiện sự thay thế cửa sau:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • accesspress-social-counter 1.9.1 1.9.2
  • accesspress-social-icon 1.8.2 1.8.3
  • accesspress-social-đăng nhập-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • accesspress-twitter-auto-post 1.4.5 1.4.6
  • accesspress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icon-lite 1.0.9
  • ap-đồng hành 1.0.7 2
  • ap-mẫu liên hệ 1.0.6 1.0.7
  • ap-tùy chỉnh-lời chứng thực 1.4.6 1.4.7
  • ap-mega-menu 3.0.5 3.0.6
  • ap-giá-bảng-lite 1.1.2 1.1.3
  • apex-thông báo-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • bình luận-vô hiệu hóa-accesspress 1.0.7 1.0.8
  • easy-side-tab-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-sắp-sớm-lite 1.1.0 1.1.1
  • everest-bình luận-xếp hạng-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-địa điểm-đánh giá-lite 1.0.9 2.0.0
  • everest-đánh giá-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • nội tuyến-kêu gọi hành động-builder-lite 1.1.0 1.1.1
  • sản phẩm-thanh trượt cho woocommerce-lite 1.1.5 1.1.6
  • thông minh-logo-showcase-lite 1.1.7 1.1.8
  • bài viết cuộn thông minh 2.0.8 2.0.9
  • cuộn thông minh lên trên cùng lite 1.0.3 1.0.4
  • tổng-gdpr-tuân thủ-lite 1.0.4
  • tổng đội-lite 1.1.1 1.1.2
  • Ultimate-tác giả-box-lite 1.1.2 1.1.3
  • Ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-huy hiệu-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-thông tin người dùng 1.0.7 1.0.8
  • wp-facebook-đánh giá-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • menu nổi wp 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banners 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Nguồn: opennet.ru

Thêm một lời nhận xét