93 WordPress temaer og plugins har en bagdør installeret

Et massiv supply chain angreb har kompromitteret 93 WordPress temaer og plugins. De 93 temaer og plugins har fået installeret en bagdør, der giver trussel-aktører fuld adgang til hjemmesider. Det ser ud som om at de installerer links der gør at din side falder i Google PageRank og dem de linker til vil stige.

Trusselsaktører har kompromitteret websitet AccesPress som en udvikler af WordPress-tilføjelser, der bruges på mere end 360.000 aktive websteder.

Angrebet har lavet om på koden i

  • 40 WordPress temaer
  • 53 WordPress plugins

Angrebet blev opdaget af forskere på Jetpack. Jetpack medarbejderne opdagede, at en PHP bagdør var blevet tilføjet til temaer og plugins.

Jetpack mener, at en ekstern trussel skuespiller har hacket AccessPress hjemmeside for at kompromittere softwaren og inficere yderligere WordPress sites.

En WordPress bagdør giver fuld kontrol med admin rettigheder

Så snart admins har installeret eller opdateret et kompromitteret AccessPress produkt på deres websted, aktørerne tilføjet en ny “initial.php” fil i de vigtigste tema bibliotek og omfattede det i de vigtigste “functions.php” fil.

Denne fil indeholdt en base64 kodet kode, der skriver en webshell i “./wp-includes/vars.php” fil.

Den ondsindede kode afslutter bagdør installation ved at injicere data i “vars.php” fil, der hovedsagelig giver hackeren fjernbetjening over den inficerede site.

Den eneste måde at opdage denne trussel er at bruge en kerne fil integritet overvågningsløsning, som malware sletter “initial.php” fil og opdaterer disse til factiry mode fra WordPress.org. Har du ikke det så ring til os lad os installere dette for dig. Det tager 20 minutter.

Nogle fra Sucuri har også undersøgt angrebet for at finde aktørernes mål. Hackerne har bl.a. brugt bagdøren til at omdirigere besøgende til malware-drop-sites og andre fidus sites. Derfor var kampagnen ikke særlig sofistikeret, men der er flere andre anvendelsesmuligheder.

Det er også muligt, at hackeren brugte denne malware til at sælge adgang til bagdørswebsteder på det mørke web, hvilket ville være en effektiv måde at tjene penge på en så storstilet infektion.

Er jeg påvirket?

Hvis du har installeret en af de kompromitterede plugins eller temaer på dit websted, fjerne / erstatte / opdatere dem vil ikke rykke nogen webshells, der kan have været plantet gennem det.

Som sådan, websted administratorer rådes til at scanne deres websteder for tegn på kompromis ved at gøre følgende:

  • Tjek din wp-inkluderer / vars.php fil omkring linjer 146-158. Hvis du ser en “wp_is_mobile_fix” funktion der med nogle korrumperet kode, er du blevet kompromitteret.
  • Søg på filsystemet efter “wp_is_mobile_fix” eller “wp-theme-connect” for at se, om der er nogen berørte filer
  • Erstat dine kerne WordPress-filer med friske kopier. Det burde være standard i et cronjob.
  • Opgrader de berørte plugins, og skift til et andet tema.
  • Ændre wp-admin og database passwords.

Jetpack har givet følgende YARA regel, der kan bruges til at kontrollere, om et websted er blevet inficeret og opdage både dropper og den installerede webshell.

regel accesspress_backdoor_infection
{
Strenge:
 
   IoC's for dropper
   $inject 0 = "$fc = str_replace('funktion wp_is_mobile()',"
   $inject 1 = "$b 64($b) . ' funktion wp_is_mobile()',"
   $inject 2 = "$fc);"
   $inject 3 = "@file_put_contents($f, $fc);"
 
   IoC's for dumpet nyttelast
   $payload 0 = "funktion wp_is_mobile_fix()"
   $payload 1 = "$is_wp_mobile = ($_SERVER['HTTP_USER_AGENT'] == 'wp_is_mobile');"
   $payload 2 = "$g = $_COOKIE;"
   $payload 3 = "(antal($g) == 8 &&amp $is_wp_mobile) ?"
 
   $url 0 = /https?: //(www.)? wp-theme-connect.com(/images/wp-theme.jpg)?/
 
betingelse:
 
   alle ( $inject * )
   eller alle ( $payload * )
   eller $url 0
}

Bagdøre blev opdaget tilbage i september

Jetpack opdagede bagdørene tilbage i september 2021, og kort efter opdagede forskerne, at trusselsaktører havde kompromitteret alle gratis plugins og temaer, der tilhører sælgeren AccessPress.

Jetpack mener også, at de betalte AccessPress-tilføjelser sandsynligvis blev kompromitteret, men ikke testet dem, så dette kan ikke bekræftes.

De fleste af produkterne var sandsynligvis blevet kompromitteret i begyndelsen af september som det kan ses fra tidsstemplerne.

Den 15. oktober 2021 fjernede sælgeren udvidelserne fra den officielle downloadportal, indtil kompromispunktet var lokaliseret og rettet.

I Januar 2022 udgav AccessPress nye, “rensede” versioner til alle de berørte plugins. Hvorfor der skal gå så ualmindelig lang tid har vi ikke svar på.

De berørte temaer er dog ikke blevet renset endnu, så at migrere til et andet tema er den eneste måde at afbøde sikkerhedsrisiciene på.

Brugere af AccessPress plugins og temaer kan læse på Jetpack bloggen for en komplet liste over de faste produkter.

AccessPress hjemmesiden, ser ud til at den er forladt, ihvertfald er der ikke mange opdateringer og aktivitet. På nettet kan vi se flere andre der prøver at få kontakt, hvorfor vi anbefaler at du skifter til Avada, Generatepress eller ASTRA temaer, der tilhører de mest sikre.

Scroll til toppen