Еще один случай атаки на цепочку поставок программного обеспечения: в первой половине сентября 2021 года десятки тем и плагинов WordPress, размещенных на веб-сайте разработчика, были заблокированы вредоносным кодом с целью заражения других сайтов.
Бэкдор предоставил злоумышленникам полный административный контроль над веб-сайтами, которые использовали 40 тем и 53 плагина, принадлежащих AccessPress Themes, непальской компании, которая может похвастаться не менее чем 360,000 XNUMX активных установок веб-сайтов.
«Зараженные расширения содержали дроппер для веб-шелла, который дает злоумышленникам полный доступ к зараженным сайтам», — заявили исследователи безопасности из JetPack, разработчика набора плагинов для WordPress. отчету опубликовано на этой неделе. «Те же расширения были в порядке, если загружались или устанавливались непосредственно из каталога WordPress[.]org».
Уязвимости присвоен идентификатор CVE-2021-24867. Платформа безопасности веб-сайтов Sucuri, в отдельном анализе, — сказал некоторые из зараженных веб-сайтов, использующих этот бэкдор, содержали спам, датируемый почти трехлетней давностью, что означает, что субъекты, стоящие за операцией, продавали доступ к сайтам операторам других спам-кампаний.
В начале этого месяца фирма по кибербезопасности eSentire раскрыла, как скомпрометированные веб-сайты WordPress, принадлежащие законным компаниям, используются в качестве рассадника для доставки вредоносных программ, обслуживая ничего не подозревающих пользователей, которые ищут послебрачные соглашения или соглашения об интеллектуальной собственности в поисковых системах, таких как Google, с помощью имплантата под названием Гутлоадер.
Владельцам сайтов, которые установили плагины непосредственно с веб-сайта AccessPress Themes, рекомендуется немедленно перейти на безопасную версию или заменить ее последней версией с сайта WordPress[.]org. Кроме того, необходимо развернуть чистую версию WordPress, чтобы отменить изменения, сделанные во время установки бэкдора.
Выводы также были получены после того, как компания Wordfence, занимающаяся безопасностью WordPress, раскрыла подробности уже исправленной уязвимости межсайтового скриптинга (XSS), влияющей на плагин под названием «Конструктор шаблонов электронной почты WordPress — HTML-почта WP”, который установлен на более чем 20,000 XNUMX веб-сайтов.
Ошибка, отслеживаемая как CVE-2022-0218, получила рейтинг 8.3 в системе оценки уязвимостей CVSS и была устранена в рамках обновлений, выпущенных 13 января 2022 г. (версия 3.1).
«Эта уязвимость позволила злоумышленнику, не прошедшему проверку подлинности, внедрить вредоносный код JavaScript, который выполнялся всякий раз, когда администратор сайта обращался к редактору шаблонов», — Хлоя Чемберленд. — сказал. «Эта уязвимость также позволила бы им изменить шаблон электронной почты, чтобы он содержал произвольные данные, которые можно было бы использовать для проведения фишинговой атаки против любого, кто получал электронные письма со взломанного сайта».
По статистика опубликованный Risk Based Security в этом месяце, к концу 2,240 года в сторонних плагинах WordPress было обнаружено и сообщено о колоссальных 2021 уязвимостях безопасности, что на 142% больше, чем в 2020 году, когда было раскрыто почти 1,000 уязвимостей. На сегодняшний день было обнаружено в общей сложности 10,359 XNUMX уязвимостей плагинов WordPress.
Источник: https://thehackernews.com/2022/01/hackers-planted-secret-backdoor-in.html.
