Diversi temi e plugin realizzati dagli sviluppatori di AccessPress per WordPress, il CMS (Content Manager System) Open Source più utilizzato al mondo, conterrebbero una backdoor esponendo i siti Web che li adottano al pericolo di essere utilizzati in campagne malevole su larga scala finalizzate alla distribuzione di phishing e malware.
Si calcola che attualmente i siti Internet potenzialmente coinvolti da questa problematica potrebbero essere circa 360 mila, secondo quanto riportato dagli esperti di sicurezza di Automattic, il gruppo che si occupa dell’implementazione di WordPress, essa sarebbe rilevabile in almeno una cinquantina di plugin e in una quarantina di temi.
La backdoor sarebbe stata individuata nei package messi a disposizione dal sito ufficiale di AccessPress mentre quelli reperibili tramite la directory di WordPress.org non risulterebbero affetti, l’attacco che avrebbe portato alla compromissione dei plugin (che sarebbero stati colpiti per primi) e dei temi risalirebbe al settembre dello scorso anno.
Gli hacker hanno distribuito package fake per l’installazione di WordPress contenenti la backdoor
Per quanto riguarda le modalità con cui sarebbe stata inoculata la backdoor la tecnica utilizzata sembrerebbe essere stata quella del supply chain attack, in pratica gli attaccanti avrebbero preso innanzitutto il controllo del sito di AccessPress e fatto questo avrebbero sostituito i package originali per l’installazione su WordPress con delle versioni contenenti la backdoor.
L’infezione prenderebbe vita da due file, "initial.php", che verrebbe rimosso una volta attivata la backdoor per eliminare le tracce dell’azione malevola, e "vars.php" in cui è rilevabile la WebShell della backdoor stessa. Quest’ultima funziona grazie ad un’apposita funzione, "wp_is_mobile_fix", che se individuata indica la presenza della vulnerabilità.