A WordPress pluginokban rejlő biztonsági kockázatra hívja fel a figyelmet a Jetpack. Jelentésük szerint az AccessPress cég által fejlesztett ─ többségében ingyenes ─ mintegy 40 WordPress téma és 53 kiegészítő (plugin) tartalmazott olyan káros PHP kódot, ami lényegében hátsó ajtót nyitott azokhoz a WordPress oldalakhoz, amelyekre telepítésre kerültek.
Ellátási lánc elleni támadás
A Jetpack azt állítja hackertámadás áll az eset hátterében. A támadók hozzáfértek az AccessPress rendszeréhez, és annak kompromittálásával juttattak káros kódot azon WordPress felhasználók oldalaira, amelyeken a cég termékei telepítve voltak.
A Sucuri biztonsági cég is vizsgálódott a témában, az ő elemzésük szerint a támadók a fertőzött oldalak látogatóit káros kódokat terjesztő és egyéb csaló weboldalakra irányították át, valamint feltételezhető, hogy a támadók „tovább értékesítették” a feltört weboldalak hozzáférését a darkweben.
WordPress oldalam van, érintett lehetek?
A gyártó adott ki megbízható új verziókat az érintett tartalmakhoz, ezért a modulok frissítése mindenképp javasolt. Azonban ez sajnos önmagában nem nyújt megoldást a már az oldalra esetlegesen telepített káros kódok ellen, ezért a Jetpack az alábbi lépéseket javasolja:
- Ellenőrizzük a wp-includes/vars.php fájlt a 146-158. sor körül! Amennyiben itt találunk egy wp_is_mobile_fix nevű függvényt valamilyen obfuszkált kódrészlet társaságában, az kompromittálásra utal. Ugyanígy keressünk rá a wp-theme-connect nevű fájlra is!
- Kompromittálódás esetén telepítsük újra a teljes WordPress keretrendszert!
- Frissítsük/távolítsuk el az érintett témákat/bővítményeket!
- Változtassuk meg az admin és adatbázis jelszavakat!
A fertőzött AccessPress témák (themes) listája:
| accessbuddy | 1.0.0 |
| accesspress-basic | 3.2.1 |
| accesspress-lite | 2.92 |
| accesspress-mag | 2.6.5 |
| accesspress-parallax | 4.5 |
| accesspress-ray | 1.19.5 |
| accesspress-root | 2.5 |
| accesspress-staple | 1.9.1 |
| accesspress-store | 2.4.9 |
| agency-lite | 1.1.6 |
| aplite | 1.0.6 |
| bingle | 1.0.4 |
| bloger | 1.2.6 |
| construction-lite | 1.2.5 |
| doko | 1.0.27 |
| enlighten | 1.3.5 |
| fashstore | 1.2.1 |
| fotography | 2.4.0 |
| gaga-corp | 1.0.8 |
| gaga-lite | 1.4.2 |
| one-paze | 2.2.8 |
| parallax-blog | 3.1.1574941215 |
| parallaxsome | 1.3.6 |
| punte | 1.1.2 |
| revolve | 1.3.1 |
| ripple | 1.2.0 |
| scrollme | 2.1.0 |
| sportsmag | 1.2.1 |
| storevilla | 1.4.1 |
| swing-lite | 1.1.9 |
| the-launcher | 1.3.2 |
| the-monday | 1.4.1 |
| uncode-lite | 1.3.1 |
| unicon-lite | 1.2.6 |
| vmag | 1.2.7 |
| vmagazine-lite | 1.3.5 |
| vmagazine-news | 1.0.5 |
| zigcy-baby | 1.0.6 |
| zigcy-cosmetics | 1.0.5 |
| zigcy-lite | 2.0.9 |
(Táblázat 1: A támadásban érintett témák
és verziószámok forrás: Jetpack)
A fertőzött AccessPress bővítmények (pluginek) listája:
| Plugin slug | Bad | Clean | Note |
|---|---|---|---|
| accesspress-anonymous-post | 2.8.0 | 2.8.1 | 1 |
| accesspress-custom-css | 2.0.1 | 2.0.2 | |
| accesspress-custom-post-type | 1.0.8 | 1.0.9 | |
| accesspress-facebook-auto-post | 2.1.3 | 2.1.4 | |
| accesspress-instagram-feed | 4.0.3 | 4.0.4 | |
| accesspress-pinterest | 3.3.3 | 3.3.4 | |
| accesspress-social-counter | 1.9.1 | 1.9.2 | |
| accesspress-social-icons | 1.8.2 | 1.8.3 | |
| accesspress-social-login-lite | 3.4.7 | 3.4.8 | |
| accesspress-social-share | 4.5.5 | 4.5.6 | |
| accesspress-twitter-auto-post | 1.4.5 | 1.4.6 | |
| accesspress-twitter-feed | 1.6.7 | 1.6.8 | |
| ak-menu-icons-lite | 1.0.9 | ||
| ap-companion | 1.0.7 | 2 | |
| ap-contact-form | 1.0.6 | 1.0.7 | |
| ap-custom-testimonial | 1.4.6 | 1.4.7 | |
| ap-mega-menu | 3.0.5 | 3.0.6 | |
| ap-pricing-tables-lite | 1.1.2 | 1.1.3 | |
| apex-notification-bar-lite | 2.0.4 | 2.0.5 | |
| cf7-store-to-db-lite | 1.0.9 | 1.1.0 | |
| comments-disable-accesspress | 1.0.7 | 1.0.8 | |
| easy-side-tab-cta | 1.0.7 | 1.0.8 | |
| everest-admin-theme-lite | 1.0.7 | 1.0.8 | |
| everest-coming-soon-lite | 1.1.0 | 1.1.1 | |
| everest-comment-rating-lite | 2.0.4 | 2.0.5 | |
| everest-counter-lite | 2.0.7 | 2.0.8 | |
| everest-faq-manager-lite | 1.0.8 | 1.0.9 | |
| everest-gallery-lite | 1.0.8 | 1.0.9 | |
| everest-google-places-reviews-lite | 1.0.9 | 2.0.0 | |
| everest-review-lite | 1.0.7 | ||
| everest-tab-lite | 2.0.3 | 2.0.4 | |
| everest-timeline-lite | 1.1.1 | 1.1.2 | |
| inline-call-to-action-builder-lite | 1.1.0 | 1.1.1 | |
| product-slider-for-woocommerce-lite | 1.1.5 | 1.1.6 | |
| smart-logo-showcase-lite | 1.1.7 | 1.1.8 | |
| smart-scroll-posts | 2.0.8 | 2.0.9 | |
| smart-scroll-to-top-lite | 1.0.3 | 1.0.4 | |
| total-gdpr-compliance-lite | 1.0.4 | ||
| total-team-lite | 1.1.1 | 1.1.2 | |
| ultimate-author-box-lite | 1.1.2 | 1.1.3 | |
| ultimate-form-builder-lite | 1.5.0 | 1.5.1 | |
| woo-badge-designer-lite | 1.1.0 | 1.1.1 | |
| wp-1-slider | 1.2.9 | 1.3.0 | |
| wp-blog-manager-lite | 1.1.0 | 1.1.2 | |
| wp-comment-designer-lite | 2.0.3 | 2.0.4 | |
| wp-cookie-user-info | 1.0.7 | 1.0.8 | |
| wp-facebook-review-showcase-lite | 1.0.9 | ||
| wp-fb-messenger-button-lite | 2.0.7 | ||
| wp-floating-menu | 1.4.4 | 1.4.5 | |
| wp-media-manager-lite | 1.1.2 | 1.1.3 | |
| wp-popup-banners | 1.2.3 | 1.2.4 | |
| wp-popup-lite | 1.0.8 | ||
| wp-product-gallery-lite | 1.1.1 |
(Táblázat 1: A támadásban érintett bővítmények
és verziószámok forrás: Jetpack)
Az ilyen támadások elkerüléséhez javasolt egyrészt tűzfal plugint alkalmazni, valamint valósidejű káros kód scannert.
