Diario Informe

Más de 90 temas de WordPress, complementos de puerta trasera en el ataque de la cadena de suministro

Un ataque masivo a la cadena de suministro comprometió 93 temas y complementos de WordPress para contener una puerta trasera, lo que brinda a los actores de amenazas acceso completo a los sitios web.

En total, los actores de amenazas comprometieron 40 temas y 53 complementos pertenecientes a AccessPress, un desarrollador de complementos de WordPress que se utilizan en más de 360 000 sitios web activos.

El ataque fue descubierto por investigadores de Jetpack, los creadores de una herramienta de seguridad y optimización para sitios de WordPress, quienes descubrieron que se había agregado una puerta trasera de PHP a los temas y complementos.

Jetpack cree que un actor de amenazas externo pirateó el sitio web de AccessPress para comprometer el software e infectar otros sitios de WordPress.

Índice de contenidos
  1. Una puerta trasera para darle un control completo
  2. estoy golpeado?
  3. Puertas traseras detectadas en septiembre

Una puerta trasera para darle un control completo

Tan pronto como los administradores instalaron un producto AccessPress comprometido en su sitio, los actores agregaron un nuevo archivo "initial.php" en el directorio del tema principal y lo incluyeron en el archivo principal "functions.php".

Este archivo contenía una carga útil codificada en base64 que escribe un webshell en el archivo "./wp-includes/vars.php".

Carga útil codificada que escribe webshell
Carga útil codificada que escribe webshell
Fuente: jugos

El código malicioso completó la instalación de la puerta trasera descifrando la carga útil e inyectándola en el archivo "vars.php", lo que esencialmente le dio a los actores de la amenaza control remoto sobre el sitio infectado.

La única forma de detectar esta amenaza es usar una solución básica de monitoreo de integridad de archivos, ya que el malware elimina el cuentagotas del archivo "initial.php" para cubrir sus rastros.

Según los investigadores de Sucuri que investigaron el caso para comprender el propósito de los actores, los atacantes utilizaron la puerta trasera para redirigir a los visitantes a sitios de publicación de malware y estafas. Por lo tanto, la campaña no fue muy sofisticada.

También es posible que el actor haya usado este malware para vender acceso a sitios web de puerta trasera en la web oscura, lo que sería una forma efectiva de monetizar una infección a gran escala.

estoy golpeado?

Si ha instalado alguno de los complementos o temas comprometidos en su sitio, eliminarlos/reemplazarlos/actualizarlos no erradicará ningún webshell que pueda haberse implantado a través de él.

Por lo tanto, se recomienda a los administradores de sitios web que analicen sus sitios en busca de signos de compromiso haciendo lo siguiente:

  • Verifique su archivo wp-includes / vars.php alrededor de las líneas 146-158. Si ve una función "wp_is_mobile_fix" allí con código ofuscado, ha sido comprometido.
  • Consulte su sistema de archivos para "wp_is_mobile_fix" o "wp-theme-connect" para ver si hay archivos afectados
  • Reemplace sus archivos principales de WordPress con nuevas copias.
  • Actualice los complementos afectados y cambie a un tema diferente.
  • Cambie las contraseñas de wp-admin y de la base de datos.

Jetpack ha proporcionado la siguiente regla YARA que se puede usar para verificar si un sitio ha sido infectado y detectar tanto el dropper como el webshell instalado.

rule accesspress_backdoor_infection
{
strings:
 
   // IoC's for the dropper
   $inject0 = "$fc = str_replace('function wp_is_mobile()',"
   $inject1 = "$b64($b) . 'function wp_is_mobile()',"
   $inject2 = "$fc);"
   $inject3 = "@file_put_contents($f, $fc);"
 
   // IoC's for the dumped payload
   $payload0 = "function wp_is_mobile_fix()"
   $payload1 = "$is_wp_mobile = ($_SERVER['HTTP_USER_AGENT'] == 'wp_is_mobile');"
   $payload2 = "$g = $_COOKIE;"
   $payload3 = "(count($g) == 8 && $is_wp_mobile) ?"
 
   $url0 = /https?://(www.)?wp-theme-connect.com(/images/wp-theme.jpg)?/
 
condition:
 
   all of ( $inject* )
   or all of ( $payload* )
   or $url0
}

Puertas traseras detectadas en septiembre

Jetpack detectó por primera vez la puerta trasera en septiembre de 2021 y, poco después, los investigadores descubrieron que los actores de amenazas habían comprometido todos los complementos y temas gratuitos del proveedor.

Jetpack cree que los complementos pagos de AccessPress probablemente hayan sido pirateados, pero no los ha probado, por lo que no se puede confirmar.

La mayoría de los productos probablemente se vieron comprometidos a principios de septiembre por las marcas de tiempo.

El 15 de octubre de 2021, el proveedor eliminó las extensiones del portal de descarga oficial hasta que se encontró y resolvió el punto de compromiso.

El 17 de enero de 2022, AccessPress lanzó nuevas versiones "limpias" para todos los complementos afectados.

Sin embargo, los temas afectados aún no se han limpiado, por lo que migrar a un tema diferente es la única forma de mitigar los riesgos de seguridad.

Los usuarios de complementos y temas de AccessPress pueden leer la publicación de Jetpack para obtener una lista completa de productos estacionarios.

BleepingComputer intentó ponerse en contacto con AccessPress con respecto al compromiso, pero el formulario de contacto no funciona.

Descubre más contenido

Subir Change privacy settings