Scoperta backdoor in temi e plugin WordPress

Scoperta backdoor in temi e plugin WordPress

In molti temi e plugin per WordPress, sviluppati da AccessPress, è stata inserita una backdoor che consente di ottenere il controllo dei siti web.
Scoperta backdoor in temi e plugin WordPress
In molti temi e plugin per WordPress, sviluppati da AccessPress, è stata inserita una backdoor che consente di ottenere il controllo dei siti web.

I ricercatori di sicurezza di Automattic hanno scoperto che molti temi e plugin sviluppati da AccessPress sono stati compromessi e sostituiti con versioni contenenti backdoor. Ciò è avvenuto a settembre attraverso un “supply chain attack”. Secondo una prima stima, il problema riguarda circa 360.000 siti basati su WordPress.

Backdoor in temi e plugin di AccessPress

Un “supply chain attack” permette di accedere al sito che ospita il software e di sostituire la versione originale con una versione infetta. Il codice della backdoor scoperta da Automattic è presente in 40 temi e 53 plugin di AccessPress distribuiti dal sito ufficiale. Le versioni pubblicate nei repository di WordPress.org non sono state compromesse.

Gli esperti di Sucuri hanno verificato che la backdoor consente di prendere il controllo dei siti. Il codice è stato aggiunto al file initial.php copiato nella directory principale del tema. La webshell della backdoor viene scritta nel file ./wp-includes/vars.php. Dopo l’installazione della backdoor, il file initial.php viene cancellato per nascondere le tracce. Tuttavia, un tool per il monitoraggio dell’integrità dei file può rilevare le modifiche apportate al file vars.php.

La backdoor è stata sfruttata per distribuire spam e aprire siti con malware. Probabilmente gli autori dell’attacco hanno venduto l’accesso ai siti sul dark web. Per verificare se il sito è stato compromesso deve essere cercata la funzione “wp_is_mobile_fix” nel file vars.php. In caso di esito positivo è necessario sostituire tutti i file principali di WordPress e scaricare i temi e/o plugin di AccessPress da WordPress.org oppure scegliere soluzioni alternative.

Fonte: Sucuri
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
23 gen 2022
Link copiato negli appunti