אתר SUCURI מדווח כי חוקרי אבטחה ב-Automatic מצאו לאחרונה כי תוסף וורדפרס הפופולרי וערכת העיצוב AccessPress נפגעו והתוכנה שלהם הוחלפה בגרסאות הכוללות דלת אחורית על ידי מתקפת "שרשרת אספקה". נראה כי פרצת האבטחה הזו התרחשה בספטמבר 2021 ורק לאחרונה פורסמה לציבור. משתמשים שהשתמשו בתוכנה שהושגה ישירות מאתר AccessPress סיפקו ללא ידיעת התוקפים גישה לדלת אחורית, מה שהביא למספר לא ידוע של אתרים שנפגעו. נראה שהתוכנה ממאגר וורדפרס הרשמי עד כה לא הושפעה, אם כי ננקטו אמצעים כדי להסיר אותן עד שניתן יהיה לבצע סקירת קוד מעמיקה.

מתקפת "שרשרת אספקה" – במקום שהאקרים יתפשרו על מערכות ישירות שנבנות על ידיהם לניצול רכיבי תוכנה פגיעים, האקרים יכולים במקום זאת לסכן את המקור שבו מנהלי אתרים ורשתות משיגים את התוכנה שלהם. דוגמא לכך היא המתקפה הידועה לשמצה על SolarWinds בשנת 2020, שבה אלפי סוכנויות ותאגידים ממשלתיים בארה"ב נפרצו בדיוק באמצעות מתקפה כזו. במקרה זה, התוקפים רכשו גישת משתמש על לתוכנת SolarWinds Orion, המשמשת סוכנויות רבות ברמות גבוהות לניהול עדכוני רשת ותוכנה. ברגע שמקור התוכנה נפגע, כל מנהל רשת או בעל אתר אינטרנט שמתקין את התוכנה או עדכונים מהמקור שנפרץ, מסכן את המערכת שלו ללא ידיעתו.

ברגע שאתר AccessPress נפרץ, התוקפים הציבו דלתות אחוריות של PHP לרבים מרכיבי התוכנה שסופקו בחינם על ידי הקבוצה. ידוע על 40 ערכות עיצוב שהושפעו כמו גם 53 פלאגינים. הדלת האחורית הייתה פשוטה למדי, אך סיפקה לתוקפים שליטה מלאה על אתרי האינטרנט של הקורבנות. הצעד הראשון שהם נקטו היה הוספת קובץ חדש initial.php לספריית ערכות העיצוב הראשית ולכלול אותו בקובץ functions.php הראשי. קובץ initial.php כולל מטען מקודד base64 אשר כותב מעטפת אינטרנט של דלת אחורית לקובץ ./wp-includes/vars.php. תהליך זה מספק להאקרים שליטה על וורדפרס וגישה מלאה לדלת אחורית לאתר. ברגע שהדלת האחורית מותקנת באתר היעד, התוכנה הזדונית כוללת פונקציית השמדה עצמית המוחקת את קובץ ה- initial.php dropper כדי לכסות את עקבותיו ולהימנע מגילוי.

עם זאת, אם אתר וורדפרס שנפל קורבן לפרצת האבטחה הזו משתמש בתוסף אבטחה לניטור שלמות קבצי הליבה, שינויים בקובץ הליבה vars.php אמורים לציין שהוא שונה. אז זו דוגמה מצוינת מדוע ניטור שלמות קבצי הליבה הוא כה חיוני לאבטחת אתרים. בעלי אתר וורדפרס המשתמשים בחומת אש – ההתקפה הייתה נעצרת שם: כל בקשות ישירות לקבצים בתוך wp-includes נחסמות על הסף מכיוון שזו לא התנהגות נורמלית.

עם הזדמנות כה גדולה בקצות אצבעותיהם, ניתן היה לחשוב שהאקרים היו טורחים להכין מטען חדש או תוכנה זדונית מלהיבה, אבל נראה שהתוכנה הזדונית ש- SUCURI מצאו הקשורה לדלת האחורית המדוברת היא פשוט יותר מאותו הדבר: דואר זבל והפניות מחדש לאתרי תוכנות זדוניות ואתרי הונאה. ב- SUCURI טוענים כי ככל הנראה מי שעמד מאחורי מתקפת "שרשרת האספקה" על AccessPress כנראה מכר גישה לאתרים עם דלת אחורית בשוק השחור לשולחי דואר זבל שמיחזרו את אותה תוכנה זדונית ישנה שבה הם תמיד משתמשים באתרים.

בעלי אתרי וורדפרס החוששים שהושפעו מפרצת האבטחה הגדולה למדי הזו יכולים לנקוט מספר צעדים כדי לאשר או להפריך את החשדות: לבדוק את קובץ wp-includes/vars.php שלך סביב שורות 146-158 ואם רואים שם פונקציה בשם "wp_is_mobile_fix" עם קוד מעורפל, הדבר מאשר את פרצת האבטחה באתר. אפשר גם לבצע חיפוש במערכת הקבצים עבור "wp_is_mobile_fix" או "wp-theme-connect" כדי לראות אם קיימים שם קבצים שנפגעו מפרצת האבטחה. במידה ופרצת האבטחה באתר הוורדפרס אושרה, ניתן לבצע את השלבים הבאים כדי לתקן את הבעיה: להחליף את קבצי הליבה של וורדפרס בעותקים טריים, להסיר ולהחליף כל ערכות עיצוב או פלאגינים פרוצים של AccessPress בעותקים טריים שהורדו ממאגר וורדפרס הרשמי. כמו כן, קיימת תמיד אפשרות להסיר את התוספים / ערכות העיצוב מהאתר ולמצוא תחליפים. לאחר מכן יש לבצע את השלבים הסטנדרטיים שלאחר מציאת פרצת אבטחה, כמו עדכון סיסמאות מנהל מערכת ובסיס הנתונים של wp-admin.