Более 90 тем и плагинов WordPress подверглись атаке на цепочку поставок

2
Бэкдор встроен в премиум-плагин для управления школами для WordPress

В результате массированной атаки на цепочку поставок 93 темы и плагина WordPress были скомпрометированы и содержали бэкдор, предоставляя злоумышленникам полный доступ к веб-сайтам.

В общей сложности злоумышленники скомпрометировали 40 тем и 53 плагина, принадлежащих компании AccessPress, разработчику дополнений для WordPress, используемых на более чем 360 000 активных веб-сайтов.

Атака была обнаружена исследователями из Jetpack, создателями инструмента безопасности и оптимизации для сайтов WordPress, которые обнаружили, что в темы и плагины был добавлен PHP-бэкдор.

В Jetpack полагают, что внешняя угроза проникла на сайт AccessPress, чтобы скомпрометировать программное обеспечение и заразить другие сайты WordPress.

Бэкдор для полного контроля

Как только администраторы устанавливали взломанный продукт AccessPress на свой сайт, актеры добавляли новый файл «initial.php» в основной каталог темы и включали его в главный файл «functions.php».

Этот файл содержал закодированную в base64 полезную нагрузку, которая записывала веб-шелл в файл «./wp-includes/vars.php».

Вредоносный код завершает установку бэкдора, декодируя полезную нагрузку и внедряя ее в файл «vars.php», по сути, предоставляя субъектам угрозы удаленный контроль над зараженным сайтом.

Единственный способ обнаружить эту угрозу — использовать основное решение для мониторинга целостности файлов, поскольку вредоносная программа удаляет файл-дроппер «initial.php», чтобы замести следы.

По словам исследователей Sucuri, которые расследовали этот случай, чтобы выяснить цель злоумышленников, угрожающие лица использовали бэкдор для перенаправления посетителей на сайты, распространяющие вредоносное ПО и мошеннические сайты. Таким образом, кампания не была очень сложной.

Также возможно, что злоумышленники использовали эту вредоносную программу для продажи доступа к бэкдор-сайтам в темной паутине, что было бы эффективным способом монетизации такого масштабного заражения.

Пострадал ли я?

Если на вашем сайте установлен один из скомпрометированных плагинов или тем, их удаление/замена/обновление не приведет к уничтожению веб-оболочек, которые могли быть установлены через них.

Поэтому администраторам сайтов рекомендуется проверить свои сайты на наличие признаков компрометации, выполнив следующие действия:

Проверьте файл wp-includes/vars.php в районе строк 146-158. Если вы увидите там функцию «wp_is_mobile_fix» с обфусцированным кодом, значит, вы подверглись взлому.
Проверьте свою файловую систему на наличие «wp_is_mobile_fix» или «wp-theme-connect», чтобы узнать, есть ли какие-либо затронутые файлы.
Замените основные файлы WordPress свежими копиями.
Обновите затронутые плагины и перейдите на другую тему.
Измените пароли wp-admin и базы данных.
Jetpack предоставил следующее правило YARA, которое можно использовать для проверки заражения сайта и обнаружения дроппера и установленной веб-оболочки.

rule accesspress_backdoor_infection
{
strings:
 
   // IoC's for the dropper
   $inject0 = "$fc = str_replace('function wp_is_mobile()',"
   $inject1 = "$b64($b) . 'function wp_is_mobile()',"
   $inject2 = "$fc);"
   $inject3 = "@file_put_contents($f, $fc);"
 
   // IoC's for the dumped payload
   $payload0 = "function wp_is_mobile_fix()"
   $payload1 = "$is_wp_mobile = ($_SERVER['HTTP_USER_AGENT'] == 'wp_is_mobile');"
   $payload2 = "$g = $_COOKIE;"
   $payload3 = "(count($g) == 8 && $is_wp_mobile) ?"
 
   $url0 = /https?:\/\/(www\.)?wp\-theme\-connect\.com(\/images\/wp\-theme\.jpg)?/
 
condition:
 
   all of ( $inject* )
   or all of ( $payload* )
   or $url0
}

Бэкдоры обнаружены в сентябре

Компания Jetpack впервые обнаружила бэкдор в сентябре 2021 года, и вскоре после этого исследователи обнаружили, что угрожающие лица взломали все бесплатные плагины и темы, принадлежащие производителю.

Компания Jetpack считает, что платные дополнения AccessPress, вероятно, были скомпрометированы, но не проверяла их, поэтому это не может быть подтверждено.

Судя по временным меткам, большинство продуктов, вероятно, были взломаны в начале сентября.

15 октября 2021 года производитель удалил расширения с официального портала загрузок, пока не будет найдена и устранена причина взлома.

17 января 2022 года AccessPress выпустил новые, «очищенные» версии для всех пострадавших плагинов.

Однако затронутые темы еще не были очищены, поэтому переход на другую тему — единственный способ снизить риски безопасности.

Пользователи плагинов и тем AccessPress могут прочитать пост Jetpack для получения полного списка исправленных продуктов.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии