WordPress:Lebih dari 90 Tema dan Plugin terdapat backdoor

Serangan rantai pasokan besar-besaran mengkompromikan 93 tema dan plugin WordPress untuk memuat pintu belakang, memberikan akses penuh kepada pelaku ancaman ke situs web.

Secara total, pelaku ancaman mengkompromikan 40 tema dan 53 plugin milik AccessPress, pengembang add-on WordPress yang digunakan di lebih dari 360.000 situs aktif.

Serangan itu ditemukan oleh para peneliti di Jetpack, pencipta alat keamanan dan pengoptimalan untuk situs WordPress, yang menemukan bahwa pintu belakang PHP telah ditambahkan ke tema dan plugin.

Jetpack yakin aktor ancaman eksternal telah melanggar situs AccessPress untuk menyusupi perangkat lunak dan menginfeksi situs WordPress lebih lanjut.

Segera setelah admin menginstal produk AccessPress yang dikompromikan di situs mereka, aktor menambahkan file initial.php baru ke dalam direktori tema utama dan memasukkannya ke dalam file functions.php utama.

File ini berisi payload yang disandikan base64 yang menulis webshell ke dalam file ./wp-includes/vars.php.

Kode berbahaya menyelesaikan instalasi pintu belakang dengan mendekode muatan dan memasukkannya ke dalam file vars.php, yang pada dasarnya memberikan kendali jarak jauh kepada pelaku ancaman atas situs yang terinfeksi.

Satu-satunya cara untuk mendeteksi ancaman ini adalah dengan menggunakan solusi pemantauan integritas file inti, karena malware menghapus penetes file initial.php untuk menutupi jejaknya.

Menurut peneliti Sucuri yang menyelidiki kasus ini untuk mengetahui tujuan para pelaku, pelaku ancaman menggunakan pintu belakang untuk mengarahkan pengunjung ke situs malware-dropping dan scam. Karena itu, kampanyenya tidak terlalu canggih.

Mungkin juga aktor tersebut menggunakan malware ini untuk menjual akses ke situs web pintu belakang di web gelap, yang akan menjadi cara efektif untuk memonetisasi infeksi berskala besar tersebut.

Jika Anda telah menginstal salah satu plugin atau tema yang disusupi di situs Anda, menghapus/mengganti/memperbaruinya tidak akan mencabut cangkang web apa pun yang mungkin telah ditanam di dalamnya.

Karena itu, administrator situs web disarankan untuk memindai situs mereka untuk mencari tanda-tanda penyusupan dengan melakukan hal berikut:

• Periksa file wp-includes/vars.php Anda di sekitar baris 146-158. Jika Anda melihat fungsi wp_is_mobile_fix di sana dengan beberapa kode yang dikaburkan, Anda telah disusupi.
• Minta sistem file Anda untuk wp_is_mobile_fix atau wp-theme-connect untuk melihat apakah ada file yang terpengaruh
• Ganti file inti WordPress Anda dengan salinan baru.
• Tingkatkan plugin yang terpengaruh dan alihkan ke tema yang berbeda.
• Ubah kata sandi wp-admin dan database.

Jetpack telah menyediakan aturan YARA berikut yang dapat digunakan untuk memeriksa apakah suatu situs telah terinfeksi dan mendeteksi baik penetes maupun webshell yang diinstal.

rule accesspress_backdoor_infection
{
strings:
 
   // IoC's for the dropper
   $inject0 = "$fc = str_replace('function wp_is_mobile()',"
   $inject1 = "$b64($b) . 'function wp_is_mobile()',"
   $inject2 = "$fc);"
   $inject3 = "@file_put_contents($f, $fc);"
 
   // IoC's for the dumped payload
   $payload0 = "function wp_is_mobile_fix()"
   $payload1 = "$is_wp_mobile = ($_SERVER['HTTP_USER_AGENT'] == 'wp_is_mobile');"
   $payload2 = "$g = $_COOKIE;"
   $payload3 = "(count($g) == 8 && $is_wp_mobile) ?"
 
   $url0 = /https?:\/\/(www\.)?wp\-theme\-connect\.com(\/images\/wp\-theme\.jpg)?/
 
condition:
 
   all of ( $inject* )
   or all of ( $payload* )
   or $url0
}

• bleepingcomputer.com