سایت jetpack اعلام کرد که تمام قالب ها و افزونه های وردپرس ارائه شده توسط AccessPress حاوی کدهای مخرب و آلوده است که با ایجاد بکدور در سایت شما خطر هک وردپرس را بوجود میآورند و به راحتی موجب هک سایت وردپرس میشوند و اطلاعات آن را سرقت و یا نابود میکنند. این حمله به آسانی قابل تشخیص نبوده و مهاجمان از طریق اضافه کردن یک web shell کنترل کامل سایت را بدست می گیرند. این حمله به آسانی قابل تشخیص نبوده و مهاجمان از طریق اضافه کردن یک web shell کنترل کامل سایت را بدست می گیرند.
این نوع حمله، به روش زنجیره تأمین (Supply Chain Attack) معروف است. متاسفانه حمله backdoored in supply chain attack یا حمله درپشتی در زنجیره تامین برای بسیاری از سایت های وردپرس که از قالب یا افزونه های AccessPress استفاده می کردند رخ داده است. در ادامه راه حل این حمله و رفع آن توضیح داده شده است.
مهاجمان بعد از نصب قالب یا افزونه، فایل جدیدی به نام initial.php در پوشه اصلی قالب یا افزونه ایجاد می کنند و آن را در فایل function.php وارد (include) می کنند. این فایل حاوی کدهای رمزگذاری شده (base64 encoded) است که یک webshell را در فایل wp-includes/vars.php برای ایجاد بکدور قرار میدهد و مهاجم کنترل از راه دور سایت آلوده را به سادگی در اختیار می گیرد. در تصویر زیر یک نمونه فایل آلوده شده را مشاهده می کنید:
از کجا بدانیم که سایت وردپرس مورد حمله backdoored in supply chain attack قرار گرفته است؟
بدافزار در این حمله از یک تابع خود تخریبی استفاده کرده است که فایل initial.php را حذف می کند تا شناسایی آن جلوگیری کند. تنها راه شناسایی این نوع حملات بکدور، نظارت بر یکپارچگی فایلها است. تغییر در فایل vars.php نشان دهنده این حمله است.
اگر سرویس فایروال sucuri یا jetpack را نصب کنید، حمله بکدور به صورت اتوماتیک شناسایی و از اجرای آن جلوگیری می شود. زیرا هرگونه درخواست مستقیم به فایلهای موجود در wp-includes کاملاً مسدود میگردد.
این حملات در نیمه اول سپتامبر سال 2021 رخ داد و پس از آن اکثر افزونههای ارائه شده توسط AccessPress در دسامبر 2021 بروز شدند و نسخه های عاری از بکدور در دسترس کاربران قرار گرفت. سایر افزونه های آپدیت نشده نیز از مخزن وردپرس حذف شدند.
متاسفانه بسیاری از وب سایتها هنوز از نسخه های آپدیت نشده محصولات AccessPress استفاده می کنند.
راه حل مبارزه با بکدور زنجیره تامین وردپرس
1. فایل wp-includes/vars.php را در در حالت ویرایش باز کنید و خطوط 146 الی 158 را بررسی کنید، اگر تابع ‘wp_is_mobile_fix’ با کدهای مبهم مشاهده کردید، احتمالا خطر هک سایت وردپرس شما وجود دارد.
2. از ‘wp_is_mobile_fix’ یا ‘wp-theme-connect’ کوئری بگیرید تا مشخص شود آیا فایل های آلوده وجود دارند یا خیر.
شرکت Jetpack همچنین رول YARA زیر را جهت بررسی فایل های آلوده به این بک دور ارائه کرده است:
اگر موارد مشکوکی مانند کدهای base64 پیدا کردید، برای دفع حمله backdoored in supply chain attack راهکار زیر را مرحله به مرحله انجام دهید:
1. فایل های اصلی وردپرس خود را با نسخه های بروز دریافت شده از WordPress.org جایگزین نمایید.
2. قالب یا افزونه های AccessPress آسیب دیده را با نسخه های بروزرسانی شده از مخزن رسمی وردپرس یا وب سایت رسمی AccessPress جایگزین نمایید.
به عنوان یک اقدام احتیاطی، مراحل استاندارد پس از آلودگی مانند بهروزرسانی رمزهای عبور مدیر wp-admin و تغییر اطلاعات کاربری پایگاه داده را انجام دهید (قاعدتا باید فایل wp-config.php را نیز با این اطلاعات جدید بروز کنید).
در ادامه لیست افزونه ها و قالب های AccessPress که دچار این باگ امنیتی هستند را فهرست کردیم، در صورت استفاده از هر کدام از آن ها حتما نسبت به بررسی سایت وردپرس خود اقدام کنید تا خطر هک وردپرس خود را از بین ببرید.
لیست قالب های آلوده AccessPress به بکدور
نام پوشه افزونه نسخه
accessbuddy 1.0.0
accesspress-basic 3.2.1
accesspress-lite 2.92
accesspress-mag 2.6.5
accesspress-parallax 4.5
accesspress-ray 1.19.5
accesspress-root 2.5
accesspress-staple 1.9.1
accesspress-store 2.4.9
agency-lite 1.1.6
aplite 1.0.6
bingle 1.0.4
bloger 1.2.6
construction-lite 1.2.5
doko 1.0.27
enlighten 1.3.5
fashstore 1.2.1
fotography 2.4.0
gaga-corp 1.0.8
gaga-lite 1.4.2
one-paze 2.2.8
parallax-blog 3.1.157
parallaxsome 1.3.6
punte 1.1.2
revolve 1.3.1
ripple 1.2.0
scrollme 2.1.0
sportsmag 1.2.1
storevilla 1.4.1
swing-lite 1.1.9
the-launcher 1.3.2
the-monday 1.4.1
uncode-lite 1.3.1
unicon-lite 1.2.6
vmag 1.2.7
vmagazine-lite 1.3.5
vmagazine-news 1.0.5
zigcy-baby 1.0.6
zigcy-cosmetics 1.0.5
zigcy-lite 2.0.9
لیست افزونه ای آلوده AccessPress به بکدور
یادداشت – نسخه تمیز – نسخه آلوده – نام پوشه افزونه
accesspress-anonymous-post 2.8.0 2.8.1 1
accesspress-custom-css 2.0.1 2.0.2
accesspress-custom-post-type 1.0.8 1.0.9
accesspress-facebook-auto-post 2.1.3 2.1.4
accesspress-instagram-feed 4.0.3 4.0.4
accesspress-pinterest 3.3.3 3.3.4
accesspress-social-counter 1.9.1 1.9.2
accesspress-social-icons 1.8.2 1.8.3
accesspress-social-login-lite 3.4.7 3.4.8
accesspress-social-share 4.5.5 4.5.6
accesspress-twitter-auto-post 1.4.5 1.4.6
accesspress-twitter-feed 1.6.7 1.6.8
ak-menu-icons-lite 1.0.9
ap-companion 1.0.7 2
ap-contact-form 1.0.6 1.0.7
ap-custom-testimonial 1.4.6 1.4.7
ap-mega-menu 3.0.5 3.0.6
ap-pricing-tables-lite 1.1.2 1.1.3
apex-notification-bar-lite 2.0.4 2.0.5
cf7-store-to-db-lite 1.0.9 1.1.0
comments-disable-accesspress 1.0.7 1.0.8
easy-side-tab-cta 1.0.7 1.0.8
everest-admin-theme-lite 1.0.7 1.0.8
everest-coming-soon-lite 1.1.0 1.1.1
everest-comment-rating-lite 2.0.4 2.0.5
everest-counter-lite 2.0.7 2.0.8
everest-faq-manager-lite 1.0.8 1.0.9
everest-gallery-lite 1.0.8 1.0.9
everest-google-places-reviews-lite 1.0.9 2.0.0
everest-review-lite 1.0.7
everest-tab-lite 2.0.3 2.0.4
everest-timeline-lite 1.1.1 1.1.2
inline-call-to-action-builder-lite 1.1.0 1.1.1
product-slider-for-woocommerce-lite 1.1.5 1.1.6
smart-logo-showcase-lite 1.1.7 1.1.8
smart-scroll-posts 2.0.8 2.0.9
smart-scroll-to-top-lite 1.0.3 1.0.4
total-gdpr-compliance-lite 1.0.4
total-team-lite 1.1.1 1.1.2
ultimate-author-box-lite 1.1.2 1.1.3
ultimate-form-builder-lite 1.5.0 1.5.1
woo-badge-designer-lite 1.1.0 1.1.1
wp-1-slider 1.2.9 1.3.0
wp-blog-manager-lite 1.1.0 1.1.2
wp-comment-designer-lite 2.0.3 2.0.4
wp-cookie-user-info 1.0.7 1.0.8
wp-facebook-review-showcase-lite 1.0.9
wp-fb-messenger-button-lite 2.0.7
wp-floating-menu 1.4.4 1.4.5
wp-media-manager-lite 1.1.2 1.1.3
wp-popup-banners 1.2.3 1.2.4
wp-popup-lite 1.0.8
wp-product-gallery-lite 1.1.1
آموزش تخصصی تشخیص آلودگی وردپرس و رفع ویروس وردپرس
دیدگاهی ثبت نشده است