一场大规模的供应链攻击破坏了93个WordPress主题和插件,包含一个后门,使威胁行为者能够完全访问网站。
威胁者总共破坏了属于AccessPress的40个主题和53个插件,AccessPress是一家WordPress插件开发商,在超过36万个活跃网站中使用。
Jetpack的研究人员发现了这次攻击,该公司是WordPress网站安全和优化工具的创建者,他们发现主题和插件中被添加了一个PHP后门。
Jetpack 认为外部威胁攻击者入侵了 AccessPress 网站以破坏软件并感染更多的 WordPress 网站。
植入完全控制的后门
一旦管理员在他们的网站上安装了一个受感染的 AccessPress 产品,演员就会在主主题目录中添加一个新的“initial.php”文件,并将其包含在主“functions.php”文件中。
该文件包含一个 base64 编码的有效负载,它将 webshell 写入“./wp-includes/vars.php”文件。
恶意代码通过解码有效负载并将其注入“vars.php”文件来完成后门安装,实质上是让威胁参与者远程控制受感染的站点。
检测此威胁的唯一方法是使用核心文件完整性监控解决方案,因为恶意软件会删除“initial.php”文件释放器以掩盖其踪迹。
据调查此案以找出攻击者目标的 Sucuri 研究人员称,威胁攻击者使用后门将访问者重定向到恶意软件投放和诈骗网站。 因此,该活动不是很复杂。
攻击者也有可能使用此恶意软件在暗网上出售对后门网站的访问权限,这将是通过这种大规模感染获利的有效方式。
我受到影响吗?
如果您在您的网站上安装了其中一个受感染的插件或主题,则删除/替换/更新它们不会根除任何可能通过它植入的 webshell。
因此,建议网站管理员通过执行以下操作来扫描他们的网站是否存在入侵迹象:
检查 wp-includes/vars.php 文件的第 146-158 行。 如果您在那里看到带有一些混淆代码的“wp_is_mobile_fix”函数,那么您已经被入侵了。
在您的文件系统中查询“wp_is_mobile_fix”或“wp-theme-connect”以查看是否有任何受影响的文件
用新副本替换您的核心 WordPress 文件。
升级受影响的插件并切换到不同的主题。
更改 wp-admin 和数据库密码。
提供了以下 YARA 规则,可用于检查站点是否已被感染并检测 dropper 和已安装的 webshell。
9 月检测到后门
Jetpack 于 2021 年 9 月首次检测到该后门,不久之后,研究人员发现威胁参与者已经破坏了属于该供应商的所有免费插件和主题。
Jetpack 认为付费的 AccessPress 附加组件可能已被入侵,但并未对其进行测试,因此无法确认。
大多数产品可能在 9 月初受到时间戳的影响。
2021 年 10 月 15 日,供应商从官方下载门户中删除了这些扩展,直到找到并修复了入侵点。
2022 年 1 月 17 日,AccessPress 为所有受影响的插件发布了新的“清理”版本。
但是,受影响的主题尚未清除,因此迁移到不同的主题是减轻安全风险的唯一方法。
领取专属 10元无门槛券
私享最新 技术干货