Un total de 93 temas y complementos de WordPress (40 temas y 53 complementos) se han visto comprometidos en un ataque masivo a la cadena de suministro, que proporcionó una puerta trasera que dio a los actores de amenazas acceso completo a los sitios web.
El ataque fue descubierto por investigadores de Jetpack y los temas y plugins pertenecen al desarrollador de WordPress AccessPress. Los complementos de los desarrolladores se utilizan en más de 360.000 sitios web activos.
Los complementos y temas descargados de WordPress.org están bien, sin embargo, los que se descargaron desde septiembre desde el sitio de AccessPress deben abordarse.
Si ha instalado algunos de los 40 temas o 53 complementos (se puede acceder a una lista completa de los temas y complementos comprometidos en el sitio de Jetpack) que se han visto comprometidos, desinstalarlos, reemplazarlos o actualizarlos no resolvería el problema.
Debido a esto, se aconseja que se realice un escaneo del sitio para buscar signos de compromiso. Aquí hay algunas comprobaciones que se pueden hacer, según bleepingcomputer.com
Además, Jetpack también ha proporcionado la siguiente regla YARA que se puede utilizar para verificar si su sitio ha sido infectado:
rule accesspress_backdoor_infection
{
strings:
// IoC’s for the dropper
$inject0 = “$fc = str_replace(‘function wp_is_mobile()’,”
$inject1 = “$b64($b) . ‘function wp_is_mobile()’,”
$inject2 = “$fc);”
$inject3 = “@file_put_contents($f, $fc);”
// IoC’s for the dumped payload
$payload0 = “function wp_is_mobile_fix()”
$payload1 = “$is_wp_mobile = ($_SERVER[‘HTTP_USER_AGENT’] == ‘wp_is_mobile’);”
$payload2 = “$g = $_COOKIE;”
$payload3 = “(count($g) == 8 && $is_wp_mobile) ?”
$url0 = /https?:\/\/(www\.)?wp\-theme\-connect\.com(\/images\/wp\-theme\.jpg)?/
condition:
all of ( $inject* )
or all of ( $payload* )
or $url0
}
AccessPress ha lanzado versiones limpias de los complementos, sin embargo, los temas aún no se han limpiado y aún representan un riesgo.
Cambiar a otro tema es la única forma de mitigar los riesgos de seguridad, por ahora.