攻擊者設法將後門嵌入到由 AccessPress 開發的 WordPress 內容管理系統的 40 個外掛程式和 53 個主題中,該系統聲稱其外掛程式已在超過 360 萬個網站上使用。 目前尚未提供該事件的分析結果,但假定惡意程式碼是在 AccessPress 網站遭到入侵期間引入的,由於存在後門,因此對已發布版本中可供下載的檔案進行了更改僅存在於透過官方AccessPress 網站分發的程式碼中,但在透過WordPress.org 目錄分發的相同版本的附加元件中不存在。
這些惡意變更是由 JetPack(WordPress 開發人員 Automatic 的一個部門)的一名研究人員在檢查客戶網站上發現的惡意程式碼時發現的。 對情況的分析表明,從 AccessPress 官方網站下載的 WordPress 外掛程式中存在惡意變更。 同一製造商的其他附加元件也受到惡意修改,允許以管理員權限完全存取網站。
在修改過程中,攻擊者將「initial.php」檔案加入到具有外掛程式和主題的檔案中,該檔案透過「functions.php」檔案中的「include」指令連接。 為了迷惑蹤跡,「initial.php」檔案中的惡意內容被偽裝成 Base64 編碼的資料區塊。 惡意插入以從 wp-theme-connect.com 網站接收圖像為幌子,直接將後門程式碼載入到 wp-includes/vars.php 檔案中。
第一批對 AccessPress 外掛程式進行惡意更改的網站於 2021 年 15 月被發現。 據推測,後門就是在那時被插入到附加組件中的。 向 AccessPress 發出的有關已發現問題的第一個通知沒有得到答复,AccessPress 在讓 WordPress.org 團隊參與調查後才引起注意。 2021年17月2022日,受後門影響的檔案已從AccessPress網站上刪除,並於XNUMX年XNUMX月XNUMX日發布了新版本的附加組件。
Sucuri 單獨檢查了安裝了受影響版本的 AccessPress 的網站,並發現存在透過後門載入的惡意模組,該後門發送垃圾郵件並將轉換重定向到詐騙網站(這些模組的日期為 2019 年和 2020 年)。 據推測,後門的作者正在出售對受感染網站的訪問權限。
記錄後門替換的主題:
- 訪問夥伴1.0.0
- accesspress-基本 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- 訪問新聞視差 4.5
- 參觀press-ray 1.19.5
- 造訪press-root 2.5
- accesspress-staple 1.9.1
- 訪問新聞商店 2.4.9
- 精簡版代理 1.1.6
- 阿普利特 1.0.6
- 短髮1.0.4
- 博主1.2.6
- 精簡版建築 1.2.5
- 多科 1.0.27
- 啟迪1.3.5
- 快閃店1.2.1
- 攝影2.4.0
- 加加公司 1.0.8
- 加加精簡版 1.4.2
- 一格 2.2.8
- 視差部落格 3.1.1574941215
- 視差體1.3.6
- 平底船 1.1.2
- 旋轉1.3.1
- 紋波1.2.0
- 滾動2.1.0
- 體育雜誌 1.2.1
- 斯托維拉1.4.1
- 搖擺精簡版 1.1.9
- 啟動器 1.3.2
- 星期一 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- v雜誌新聞 1.0.5
- zigcy-baby 1.0.6
- zigcy-化妝品 1.0.5
- zigcy-lite 2.0.9
偵測到後門替換的插件:
- accesspress-匿名-貼文 2.8.0 2.8.1 1
- accesspress-自訂-css 2.0.1 2.0.2
- accesspress-自訂貼文類型 1.0.8 1.0.9
- 訪問新聞-facebook-自動發布 2.1.3 2.1.4
- 造訪press-instagram-feed 4.0.3 4.0.4
- 訪問新聞-pinterest 3.3.3 3.3.4
- 訪問新聞社交計數器 1.9.1 1.9.2
- 造訪新聞社交圖示 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- 訪問新聞社交分享 4.5.5 4.5.6
- 造訪新聞推特自動發布 1.4.5 1.4.6
- 訪問新聞-twitter-feed 1.6.7 1.6.8
- ak-選單-圖標-lite 1.0.9
- ap-伴侶 1.0.7 2
- ap-聯絡表格 1.0.6 1.0.7
- ap-定制-感言 1.4.6 1.4.7
- ap-mega-菜單 3.0.5 3.0.6
- ap-定價表-lite 1.1.2 1.1.3
- apex-notification-bar-lite 2.0.4 2.0.5
- cf7 儲存到 db-lite 1.0.9 1.1.0
- 評論禁用訪問新聞 1.0.7 1.0.8
- Easy-side-tab-cta 1.0.7 1.0.8
- 珠穆朗瑪峰管理主題精簡版 1.0.7 1.0.8
- 珠穆朗瑪峰即將推出-精簡版 1.1.0 1.1.1
- 珠穆朗瑪峰評論評等精簡版 2.0.4 2.0.5
- 珠穆朗瑪峰計數器精簡版 2.0.7 2.0.8
- 珠穆朗瑪峰常見問題管理器精簡版 1.0.8 1.0.9
- 珠穆朗瑪峰畫廊精簡版 1.0.8 1.0.9
- 珠穆朗瑪峰谷歌地點評論精簡版 1.0.9 2.0.0
- 珠穆朗瑪峰評論精簡版 1.0.7
- 珠穆朗瑪峰-tab-lite 2.0.3 2.0.4
- 珠穆朗瑪峰時間線精簡版 1.1.1 1.1.2
- 內嵌號召行動建構器精簡版 1.1.0 1.1.1
- woocommerce-lite 的產品滑塊 1.1.5 1.1.6
- 智慧標誌展示精簡版 1.1.7 1.1.8
- 智慧型滾動帖子 2.0.8 2.0.9
- 智慧型滾動到頂部精簡版 1.0.3 1.0.4
- 整體 GDPR 合規精簡版 1.0.4
- 總團隊精簡版 1.1.1 1.1.2
- 終極作者盒精簡版 1.1.2 1.1.3
- 終極形式建造者精簡版 1.5.0 1.5.1
- woo-徽章設計師-lite 1.1.0 1.1.1
- wp-1-滑塊 1.2.9 1.3.0
- wp-部落格管理器-lite 1.1.0 1.1.2
- 可濕性粉劑評論設計師精簡版 2.0.3 2.0.4
- wp-cookie-使用者資訊 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- 可濕性粉劑浮動菜單 1.4.4 1.4.5
- 可濕性粉劑媒體管理器精簡版 1.1.2 1.1.3
- 可濕性粉劑彈出橫幅 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- 可濕性粉劑產品畫廊精簡版 1.1.1
來源: opennet.ru