Хакери го нападнаа системот за ажурирање на додатокот Smart Slider 3 Pro за WordPress и Joomla, и пуштија злонамерна верзија со повеќе задни врати.

Развивачот наведува дека само Pro верзијата 3.5.1.35 на додатокот е погодена и препорачува веднаш да се премине на најновата верзија, моментално 3.5.1.36, или 3.5.1.34 и претходни.

Smart Slider 3 за WordPress се користи на над 900,000 веб-страници за креирање на одзивни слајдери преку жив уредувач на слајдери, со голем избор на распореди и дизајни. Според добавувачот, злонамерната ажурирање било дистрибуирано на 7 април, и некои веб-страници можеби го инсталирале.

Анализата од PatchStack, компанија која се фокусира на обезбедување на WordPress и софтвер со отворен код, забележува дека малициозниот софтвер е целосно опремен, повеќеслоен алат вграден во главниот фајл на додатокот, додека ја зачувува нормалната функционалност на Smart Slider.

„Злонамерниот комплет овозможува на далечински напаѓач да извршува команди без автентикација преку специјално изработени HTTP заглавија. Исто така, вклучува втора автентицирана задна врата со PHP eval и извршување на OS команди, како и автоматизирано крадење на креденцијали.“ — PatchStack

Злонамерниот софтвер постигнува перзистентност преку повеќе слоеви, еден од кои е создавање на скриен администраторски акаунт и складирање на креденцијали во базата на податоци. Дополнително, создава директориум 'mu-plugins' и создава задолжителен додаток со име кое претставува легитимен кешинг компонент.

PatchStack забележува дека злонамерниот комплет исто така поставува задна врата во фајлот functions.php на активната тема, што му овозможува да остане активен додека темата е активна. Друг слој на перзистентност е инјектирање на PHP фајл во директориумот wp-includes со име кое имитира легитимна WordPress класа.

Добавувачот издаде слично предупредување за Joomla инсталации, велејќи дека злонамерниот код присутен во верзијата 3.5.1.35 на додатокот може да создаде скриен администраторски акаунт (обично со префикс wpsvc_), да инсталира дополнителни задни врати во директориумите /cache и /media, и да краде информации и креденцијали на сајтот.

Препорачани акции

Злонамерното ажурирање беше дистрибуирано на корисниците на 7 април, но тимот на Smart Slider сугерира 5 април како најбезбеден датум за враќање на резервната копија, за да се осигураат разликите во временските зони.

„Безбедносен пробив го погоди системот за ажурирање одговорен за дистрибуција на Smart Slider 3 Pro за WordPress,“ стои во објавата на добавувачот.

Ако нема достапна резервна копија, се препорачува да се отстрани компромитираниот додаток и да се инсталира чиста верзија (3.5.1.36).

Администраторите кои ќе го најдат компромитираниот додаток треба да претпостават целосна компромитација на сајтот и да преземат следниве акции:

  • Избришете злонамерни корисници, фајлови и записи во базата на податоци
  • Повторно инсталирајте WordPress јадро, додатоци и теми од доверливи извори
  • Променете ги сите креденцијали (WP, DB, FTP/SSH, хостинг, е-пошта)
  • Регенерирајте ги безбедносните клучеви на WordPress (salts)
  • Скенирајте за преостанат малициозен софтвер и прегледајте ги логовите

Добавувачот исто така обезбедува повеќестепен водич за рачно чистење за WordPress и Joomla, кој започнува со ставање на сајтот во режим на одржување и правење резервна копија. Администраторите потоа треба да го исчистат сајтот од неовластени администраторски корисници, да ги отстранат сите злонамерни компоненти и да ги инсталираат сите јадрени фајлови, додатоци и теми. Препорачано е и ресетирање на сите лозинки и скенирање за дополнителен малициозен софтвер.

Конечните препораки вклучуваат зајакнување на сајтот со активирање на двофакторска автентикација (2FA), ажурирање на компонентите на најновите верзии, ограничување на пристапот до администраторот и користење на силни лозинки кои се уникатни.