I ricercatori di sicurezza di Automattic hanno scoperto che molti temi e plugin sviluppati da AccessPress sono stati compromessi e sostituiti con versioni contenenti backdoor. Ciò è avvenuto a settembre attraverso un “supply chain attack”. Secondo una prima stima, il problema riguarda circa 360.000 siti basati su WordPress.
Backdoor in temi e plugin di AccessPress
Un “supply chain attack” permette di accedere al sito che ospita il software e di sostituire la versione originale con una versione infetta. Il codice della backdoor scoperta da Automattic è presente in 40 temi e 53 plugin di AccessPress distribuiti dal sito ufficiale. Le versioni pubblicate nei repository di WordPress.org non sono state compromesse.
Gli esperti di Sucuri hanno verificato che la backdoor consente di prendere il controllo dei siti. Il codice è stato aggiunto al file initial.php
copiato nella directory principale del tema. La webshell della backdoor viene scritta nel file ./wp-includes/vars.php
. Dopo l’installazione della backdoor, il file initial.php
viene cancellato per nascondere le tracce. Tuttavia, un tool per il monitoraggio dell’integrità dei file può rilevare le modifiche apportate al file vars.php
.
La backdoor è stata sfruttata per distribuire spam e aprire siti con malware. Probabilmente gli autori dell’attacco hanno venduto l’accesso ai siti sul dark web. Per verificare se il sito è stato compromesso deve essere cercata la funzione “wp_is_mobile_fix” nel file vars.php
. In caso di esito positivo è necessario sostituire tutti i file principali di WordPress e scaricare i temi e/o plugin di AccessPress da WordPress.org oppure scegliere soluzioni alternative.