【供应链安全】AccessPress 的WordPress主题和插件被植入后门

0x00 风险概述

2022 年 1 月 18日，研究人员公开了去年9月针对AccessPress的大规模供应链攻击，该攻击破坏了 93个主题和插件并植入后门，以便攻击者可以完全控制网站。

0x01 攻击详情

目前已知有40个主题和 53个插件受到此次攻击的影响。AccessPress是一家WordPress插件开发商，已部署超过36万个网站。

研究人员于去年9 月首次检测到该后门，不久之后，研究人员发现攻击者已经破坏了属于该供应商的所有免费插件和主题。但由于付费的 AccessPress 附加组件并未对其进行测试，因此无法确认是否被感染。

攻击者通过在主题和插件中部署PHP 后门以提供完全控制，一旦管理员在网站上安装了被感染的 AccessPress 产品，攻击者就会在主题目录中添加一个新的“initial.php”文件，并将其包含在主“functions.php”文件中。该文件包含一个base64编码的Payload，该Payload将webshell写入"./wp-includes/vars.php"文件中。

恶意代码通过解码Payload并将其注入 "vars.php "文件来完成后门安装，实质上是让攻击者远程控制受感染的站点。

之后，研究人员发现攻击者利用后门将访问者重定向到恶意软件投放和诈骗网站。也有攻击者利用此恶意软件在暗网上出售对后门网站的访问权，这将使这种大规模的感染货币化。

检测这种威胁的唯一方法是使用核心文件完整性监控解决方案，因为恶意软件会删除 "initial.php "文件的投放器以掩盖其踪迹。

0x02 风险等级

高危。

0x03 影响范围

受影响的主题、插件和YARA 规则详见如下链接：

https://jetpack.com/2022/01/18/backdoor-found-in-themes-and-plugins-from-accesspress-themes/

0x04 安全建议

2021年10月15日，供应商从官方下载门户中删除了这些扩展，直到找到并修复了入侵点。

2022年1月17日，AccessPress为所有受影响的插件发布了新的版本。但受影响的主题还没有被清理，所以迁移到一个不同的主题是减轻安全风险的唯一途径。

如果在网站上安装了上述链接中的受影响插件或主题，则删除/替换/更新它们不会根除可能已经通过它植入的webshell。

网站管理员可以通过以下方式来扫描网站是否有被入侵的迹象：

1.检查wp-includes/vars.php文件的第146-158行。如果在那里看到带有一些混淆代码的“wp_is_mobile_fix”函数，那么已经被入侵了。

2.也可以在文件系统中查询“wp_is_mobile_fix”或“wp-theme-connect”以查看是否有任何受影响的文件。

如果已经被入侵，可以实施以下方法：

1.用新副本替换核心WordPress文件。

2.升级受影响的插件并切换到不同的主题。

3.更改wp-admin和数据库的密码。

0x05 参考链接

https://jetpack.com/2022/01/18/backdoor-found-in-themes-and-plugins-from-accesspress-themes/

https://blog.sucuri.net/2022/01/accesspress-themes-hit-with-targeted-supply-chain-attack.html

https://www.bleepingcomputer.com/news/security/over-90-wordpress-themes-plugins-backdoored-in-supply-chain-attack/

0x06 版本信息

0x07 附录

公司简介

启明星辰公司成立于1996年，并于2010年6月23日在深交所中小板正式挂牌上市，是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。

公司总部位于北京市中关村软件园，在全国各省、市、自治区设有分支机构，拥有覆盖全国的渠道体系和技术支持中心，并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。

多年来，启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。