logo

خطر حمله به سایت‌های وردپرسی استفاده کننده از محصولات AccessPress و راهکار رفع آن

به گزارش سایت jetpack تمامی قالب‌ها و افزونه‌های ارائه شده توسط AccessPress حاوی کدهای مخرب و آلوده به بکدور هستند. این حمله به سادگی قابل تشخیص نبوده و مهاجمان از طریق اضافه کردن یک webshell کنترل کامل سایت را بدست می گیرند. در ادامه به معرفی موارد آلوده و راهکار آن خواهیم پرداخت.
خطر حمله به سایت‌های وردپرسی و راهکار رفع آن
در این مقاله می‌خوانید:

بنا بر این گزارش این حمله به سادگی قابل تشخیص نبوده و مهاجمان از طریق اضافه کردن یک webshell کنترل کامل سایت را بدست می گیرند.

این روش حمله، به زنجیره تأمین (Supply Chain Attack) معروف است. backdoored in supply chain attack یا حمله درپشتی در زنجیره تامین برای بسیاری از سایت‌های وردپرس استفاده کننده از قالب و افزونه های AccessPress رخ داده که در ادامه راهکار رفع آن توضیح داده شده است.

اقدام مهاجمان به این صورت است که بعد از نصب قالب یا افزونه، فایل جدیدی به نام initial.php در پوشه اصلی قالب یا افزونه ایجاد شده و آن را در فایل function.php اینکلود می کند. این فایل حاوی کدهای رمزگذاری شده (base64 encoded) است که یک webshell را در فایل wp-includes/vars.php برای ایجاد بکدور جایگذاری می‌کند، بنابراین کنترل از راه دور سایت آلوده به سادگی انجام می شود.

Backdoor Found in Themes and Plugins from AccessPress Themes خطر حمله به سایت‌های وردپرسی استفاده کننده از محصولات AccessPress و راهکار رفع آن
نمونه فایل آلوده در مسیر wp-includes/vars.php

آیا سایت من مورد حمله قرار گرفته است؟

این بدافزار دارای یک تابع خود تخریبی است که فایل initial.php را حذف می کند تا ردپای خود را به حداقل برساند و از شناسایی آن جلوگیری کند. تنها راه شناسایی این حملات بکدور، نظارت بر یکپارچگی فایل هسته ای است. تغییر در فایل vars.php نشان دهنده این حمله است.

در غیر اینصورت اگر کاربران از سایر محصولات این ارائه کننده استفاده می کنند و سرویس فایروال sucuri یا jetpack را نصب کده اند، حمله بکدور به صورت خودکار شناسایی و متوقف می شود. زیرا هرگونه درخواست مستقیم به فایل‌های موجود در wp-includes کاملاً مسدود می‌شود و این رفتار عادی نیست.

این حملات در نیمه اول سپتامبر 2021 صورت گرفت، پس از آن اکثر افزونه های این ارائه کننده در دسامبر 2021 بروز شده و نسخه های تمیز در دسترس کاربران قرار گرفت. سایر افزونه‌های آپدیت نشده نیز از مخزن وردپرس حذف شدند.

با این‌حال بسیاری از وب سایت‌ها هنوز از نسخه های آپدیت نشده و آلوده محصولات AccessPress استفاده می کنند؛ توصیه می شود گام های زیر را جهت شناسایی و رفع مشکل بکدور انجام دهند.

اگر نگران حمله بکدور در زنجیره تامین هستید، گام های زیر را انجام دهید

  1. فایل wp-includes/vars.php خود را در خطوط 146-158 بررسی کنید. اگر تابع  ‘wp_is_mobile_fix’  با کدهای مبهم مشاهده کردید، در معرض خطر قرار گرفته اید.
  2. همچنین می توانید از ‘wp_is_mobile_fix’  یا ‘wp-theme-connect’ کوئری گرفته تا ببینید آیا فایل های آسیب دیده وجود دارند یا خیر.

Jetpack نیز رول YARA زیر را ارائه کرده است که می تواند برای بررسی آلوده بودن سایت استفاده شود.

rule accesspress_backdoor_infection
{
strings:
 
   // IoC's for the dropper
   $inject0 = "$fc = str_replace('function wp_is_mobile()',"
   $inject1 = "$b64($b) . 'function wp_is_mobile()',"
   $inject2 = "$fc);"
   $inject3 = "@file_put_contents($f, $fc);"
 
   // IoC's for the dumped payload
   $payload0 = "function wp_is_mobile_fix()"
   $payload1 = "$is_wp_mobile = ($_SERVER['HTTP_USER_AGENT'] == 'wp_is_mobile');"
   $payload2 = "$g = $_COOKIE;"
   $payload3 = "(count($g) == 8 && $is_wp_mobile) ?"
 
   $url0 = /https?:\/\/(www\.)?wp\-theme\-connect\.com(\/images\/wp\-theme\.jpg)?/
 
condition:
 
   all of ( $inject* )
   or all of ( $payload* )
   or $url0
}

اگر موارد مشکوکی مشاهده شد، مراحل زیر را برای رفع حمله backdoored in supply chain attack دنبال کنید:

  1. فایل های اصلی وردپرس خود را با نسخه های بروز جایگزین کنید
  2. قالب یا افزونه های AccessPress آسیب دیده را با نسخه های تازه دانلود شده از مخزن رسمی وردپرس یا وب سایت ارائه دهنده جایگزین کنید.
  3. به عنوان یک اقدام احتیاطی، مراحل استاندارد پس از آلودگی مانند به‌روزرسانی رمزهای عبور مدیر wp-admin و پایگاه داده را انجام دهید.

بنابراین اگر از هریک از افزونه و قالب های انتهای مقاله استفاده می کنید؛ توصیه می کنیم در اسرع وقت اقدامات لازم را جهت برقراری امنیت سایت خود انجام دهید.

لیست قالب‌های آلوده شده به در پشتی

نام قالبنسخه
accessbuddy1.0.0
accesspress-basic3.2.1
accesspress-lite2.92
accesspress-mag2.6.5
accesspress-parallax4.5
accesspress-ray1.19.5
accesspress-root2.5
accesspress-staple1.9.1
accesspress-store2.4.9
agency-lite1.1.6
aplite1.0.6
bingle1.0.4
bloger1.2.6
construction-lite1.2.5
doko1.0.27
enlighten1.3.5
fashstore1.2.1
fotography2.4.0
gaga-corp1.0.8
gaga-lite1.4.2
one-paze2.2.8
parallax-blog3.1.1574941215
parallaxsome1.3.6
punte1.1.2
revolve1.3.1
ripple1.2.0
scrollme2.1.0
sportsmag1.2.1
storevilla1.4.1
swing-lite1.1.9
the-launcher1.3.2
the-monday1.4.1
uncode-lite1.3.1
unicon-lite1.2.6
vmag1.2.7
vmagazine-lite1.3.5
vmagazine-news1.0.5
zigcy-baby1.0.6
zigcy-cosmetics1.0.5
zigcy-lite2.0.9
جدول 1: مضامین و نسخه هایی که توسط حمله به خطر افتاده است.

لیست افزونه‌های آلوده شده به در پشتی

نام افزونهآلودهپاکیادداشت (نکته)
accesspress-anonymous-post2.8.02.8.11
accesspress-custom-css2.0.12.0.2
accesspress-custom-post-type1.0.81.0.9
accesspress-facebook-auto-post2.1.32.1.4
accesspress-instagram-feed4.0.34.0.4
accesspress-pinterest3.3.33.3.4
accesspress-social-counter1.9.11.9.2
accesspress-social-icons1.8.21.8.3
accesspress-social-login-lite3.4.73.4.8
accesspress-social-share4.5.54.5.6
accesspress-twitter-auto-post1.4.51.4.6
accesspress-twitter-feed1.6.71.6.8
ak-menu-icons-lite1.0.9
ap-companion1.0.72
ap-contact-form1.0.61.0.7
ap-custom-testimonial1.4.61.4.7
ap-mega-menu3.0.53.0.6
ap-pricing-tables-lite1.1.21.1.3
apex-notification-bar-lite2.0.42.0.5
cf7-store-to-db-lite1.0.91.1.0
comments-disable-accesspress1.0.71.0.8
easy-side-tab-cta1.0.71.0.8
everest-admin-theme-lite1.0.71.0.8
everest-coming-soon-lite1.1.01.1.1
everest-comment-rating-lite2.0.42.0.5
everest-counter-lite2.0.72.0.8
everest-faq-manager-lite1.0.81.0.9
everest-gallery-lite1.0.81.0.9
everest-google-places-reviews-lite1.0.92.0.0
everest-review-lite1.0.7
everest-tab-lite2.0.32.0.4
everest-timeline-lite1.1.11.1.2
inline-call-to-action-builder-lite1.1.01.1.1
product-slider-for-woocommerce-lite1.1.51.1.6
smart-logo-showcase-lite1.1.71.1.8
smart-scroll-posts2.0.82.0.9
smart-scroll-to-top-lite1.0.31.0.4
total-gdpr-compliance-lite1.0.4
total-team-lite1.1.11.1.2
ultimate-author-box-lite1.1.21.1.3
ultimate-form-builder-lite1.5.01.5.1
woo-badge-designer-lite1.1.01.1.1
wp-1-slider1.2.91.3.0
wp-blog-manager-lite1.1.01.1.2
wp-comment-designer-lite2.0.32.0.4
wp-cookie-user-info1.0.71.0.8
wp-facebook-review-showcase-lite1.0.9
wp-fb-messenger-button-lite2.0.7
wp-floating-menu1.4.41.4.5
wp-media-manager-lite1.1.21.1.3
wp-popup-banners1.2.31.2.4
wp-popup-lite1.0.8
wp-product-gallery-lite1.1.1
جدول 2: پلاگین‌ها، نسخه‌هایی که توسط حمله به خطر افتاده و همچنین نسخه‌های تمیز شناخته شده

یادداشت (نکته):

  1. این افزونه به‌روزرسانی نشده است، اما گمان می‌رود که تمیز باشد زیرا نسخه موجود در وب‌سایت AccessPress Themes نسخه قدیمی‌تر بود.
  2. این افزونه به روز نشده است، اما اعتقاد بر این است که تمیز است زیرا در ابتدا در وب سایت AccessPress Themes موجود نبود.

توصیه‌ها

  1. اگر تم یا پلاگینی دارید که مستقیماً از AccessPress Themes یا هر مکان دیگری به جز مخزن وردپرس نصب شده است، باید فوراً به نسخه ایمن همانطور که در جداول بالا نشان داده شده است ارتقا دهید. اگر نسخه ایمن در دسترس نیست، آن را با آخرین نسخه از مخزن وردپرس جایگزین کنید.
  2. توجه داشته باشید که این درب پشتی را از سیستم شما حذف نمیکند، بنابراین علاوه بر این باید یک نسخه تمیز از وردپرس را مجدداً نصب کنید تا تغییرات اصلی فایل انجام شده در هنگام نصب درب پشتی را برگردانید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

logo

ندای وب، نامی آشنا در عرصه وب فارسی است که با تجربه مناسب و کسب رضایت حداکثری مشتریان خود سعی در ارائه خدمات با سطح کیفی منطبق با استاندارد‌های روز جهان، کیفیت مناسب، طراحی مدرن و خلاقانه در کنار تعرفه‌ای رقابتی سعی در ارائه تجربه‌ای مناسب و متفاوت از حضور در دنیای دیجیتال را برای مشتریان خود دارد.

Whatsapp Telegram Soroush Eitaa Instagram
نماد اعتماد الکترونیک
نشان ملی ثبت

© تمام حقوق برای ندای وب محفوط می باشد.

قدرت گرفته با ​​