Biztonsági kutatók 40 WordPress témát és 53 különböző plugint érintő biztonsági problémákat fedeztek fel, melyek segítségével a támadók teljes hozzáférést kaphattak az érintett weboldalakhoz.
A WordPress kiegészítőkre szakosodott JetPack csapat biztonsági szakemberei olyan biztonsági problémát fedeztek fel, amely 360 ezer weboldalt érinthet. A kiegészítőkben azok készítője a közös: a nepáli AccessPress Themes termékeiről van szó.
A fertőzött kiegészítőkben a szakemberek egy web shell droppert találtak, melynek segítségével a támadók átvehették az érintett weboldalak felett a teljes ellenőrzést. Az érdekesség, hogy a gyártó weboldaláról letöltött és telepített kiegészítők voltak csak fertőzöttek, a WordPress.org oldalra feltett kiegészítők viszont nem. Ez is mutatja, hogy klasszikus ellátási lánc támadással állunk szemben, ahol a gyártó termékéhez fértek hozzá a hackerek, feltehetően a gyártó weboldalának feltörésén keresztül.
A sérülékenység kódneve CVE-2021-24876. A weboldalak biztonságával foglalkozó Sucuri cég egy külön elemzésben jelezte, hogy azon weboldalaknál, ahol megtalálták ezt a hátsó ajtót, több esetben régebbi, több mint hároméves spameket is találtak. Ebből viszont arra lehet következtetni, hogy a támadás mögötti hackerek vélhetően már korábbról hozzáféréseket értékesítettek a spam kampányok indítóinak.
Aki a kiegészítőket közvetlenül az AccessPress Theme weboldaláról telepítette, mindenképp frissítsen a már megtisztított verzióra, vagy töltse le a nem fertőzött változatot a WordPress.org oldalról.
A WordPress-t sok weboldal készítésénél használják, népszerűsége miatt sokan támadják is. Tavaly tavasszal az Elementor plugin és a WP Super Cache sérülékenységei több mint 7 millió weboldalt érintettek. 2020 szeptemberében pedig a WordPress File Manager kiegészítő hibája több százezer weboldalon fordulhatott elő. A WordPress fejlesztői az 5.5-ös verzióba beépítették a témák és a plugin-ok automatikus frissítésének lehetőségét, ezzel is növelve a tartalomkezelő biztonságát.
