fbpx

 

Decine di componenti aggiuntivi legittimi di WordPress scaricati dalle loro fonti originali sono stati trovati in backdoor, attraverso un attacco alla catena di fornitura, riferiscono i ricercatori. La backdoor è stata trovata su “parecchi” siti che eseguono il sistema di gestione dei contenuti open source. La backdoor ha dato agli attaccanti il pieno controllo amministrativo dei siti web, che hanno utilizzato almeno 93 plugin WordPress e temi scaricati da AccessPress Themes.

La backdoor è stata scoperta dai ricercatori di sicurezza di JetPack, il produttore di software di sicurezza di proprietà di Automatic, fornitore del servizio di hosting WordPress e uno dei principali contribuenti allo sviluppo di WordPress. In tutto, Jetpack ha scoperto che 40 temi AccessPress e 53 plugin sono stati colpiti. Fornendo inconsapevolmente l’accesso al l’attaccante, in un post pubblicato giovedì, il ricercatore di Jetpack Harald Eilertsen riferisce che i timestamp e altre prove suggeriscono che le backdoor sono state introdotte intenzionalmente in un’azione coordinata dopo il rilascio dei temi e dei plugin.

Il software interessato era disponibile per il download direttamente dal sito AccessPress Themes. Gli stessi temi e plugin rispecchiati sul sito di WordPress, il sito ufficiale degli sviluppatori del progetto WordPress, sono rimasti puliti. “Gli utenti che hanno utilizzato il software ottenuto direttamente dal sito Access Press, hanno inconsapevolmente fornito agli attaccanti l’accesso alla backdoor, con consegue un numero sconosciuto di siti web compromessi”, ha scritto Ben Martin, un ricercatore con la collaborazione di una società di sicurezza Web Sucuri, in un’analisi separata della backdoor.

Ha detto che il software contaminato conteneva uno script chiamato initial.php che è stato aggiunto alla directory principale del tema e poi incluso nel file functions.php principale. L’analisi mostra, come un dropper ha usato la codifica base64 per camuffare il codice che ha scaricato un payload da wp-theme-connect, e lo ha usato per installare la backdoor come wp-includes/vars.php. Una volta installato, il dropper si è autodistrutto nel tentativo di mantenere l’attacco furtivo.

Il post di Jetpack dimostra che le prove indicano che l’attacco alla backdoor su AccessPress Themes è stato eseguito a settembre. Martin, tuttavia, riferisce che le prove suggeriscono che la backdoor stessa è molto più vecchia. Alcuni dei siti web infetti avevano carichi di spam che risalivano a quasi tre anni fa. Ha detto che la sua migliore ipotesi è che le persone dietro la backdoor stavano vendendo l’accesso ai siti infetti a persone che spingevano spam web e malware. Infine ha scritto: “Con una così grande opportunità a portata di mano, si potrebbe pensare che gli aggressori avrebbero preparato qualche nuovo eccitante payload o malware, ma ahimè, sembra che il malware che abbiamo trovato associato a questa backdoor sia più dello stesso: spam, e reindirizzamenti a malware e siti truffa”. Il post di Jetpack fornisce i nomi completi e le versioni del software AccessPress infetto. Chiunque gestisca un sito WordPress con le offerte di questa azienda dovrebbe ispezionare attentamente i propri sistemi per assicurarsi che non stiano eseguendo un’istanza backdoor.

I proprietari del sito potrebbero anche voler considerare l’installazione di un firewall per siti web, molti dei quali avrebbero impedito alla backdoor di funzionare. L’attacco è l’ultimo esempio di un attacco a catena, che compromette la fonte di un pezzo legittimo di software piuttosto che cercare di infettare i singoli utenti. La tecnica permette ai malintenzionati di infettare un gran numero di utenti, e ha il vantaggio della furtività, poiché il malware compromesso proviene da un fornitore affidabile.

Click to rate this post!
[Total: 0 Average: 0]