Porte dérobée (Backdoor ) trouvée dans les thèmes et plugins des thèmes AccessPress

Mis à jour le 11 juin 2022 – Harald Eilertsen article en Anglais ici

Mise à jour du 1er février – Modification de la section « Thèmes concernés » pour refléter que de nouvelles versions des thèmes commencent à apparaître.

En enquêtant sur un site compromis, nous avons découvert du code suspect dans un thème d’AccessPress Themes (alias Access Keys), un fournisseur proposant un grand nombre de thèmes et de plugins populaires. Après une enquête plus approfondie, nous avons constaté que tous les thèmes et la plupart des plug-ins du fournisseur contenaient ce code suspect, mais uniquement s’ils étaient téléchargés à partir de leur propre site Web. Les mêmes extensions étaient correctes si elles étaient téléchargées ou installées directement à partir du répertoire WordPress.org.

En raison de la manière dont les extensions ont été compromises, nous soupçonnions qu’un attaquant externe avait pénétré le site Web d’AccessPress Themes dans le but d’utiliser leurs extensions pour infecter d’autres sites.

Nous avons immédiatement contacté le vendeur, mais au début, nous n’avons pas reçu de réponse. Après l’avoir transmis à l’équipe du plugin WordPress.org, nos soupçons ont été confirmés. Les sites Web AccessPress Themes ont été piratés au cours de la première moitié de septembre 2021, et les extensions disponibles en téléchargement sur leur site ont été injectées avec une porte dérobée.

Une fois que nous avons établi un canal de communication avec le fournisseur, nous lui avons partagé nos conclusions détaillées. Ils ont immédiatement supprimé les extensions incriminées de leur site Web.

La plupart des plugins ont depuis été mis à jour et les versions propres connues sont répertoriées au bas de cet article. Cependant, les thèmes concernés n’ont pas été mis à jour et sont extraits du référentiel de thèmes WordPress.org. Si l’un des thèmes répertoriés au bas de cet article est installé sur votre site, nous vous recommandons de migrer vers un nouveau thème dès que possible.

Cette divulgation concerne un grand nombre d’extensions, à la fois des plugins et des thèmes. Passez à la liste ci-dessous ou lisez la suite pour plus de détails.

Détails:

Fournisseur : AccessPress Themes
URL du fournisseur : https://accesspressthemes.com (Le site n’est plus accessible)
Plugins : plusieurs
thèmes : plusieurs
CVE : CVE-2021-24867

Thèmes concernés

Si vous avez l’un des thèmes suivants avec un numéro de version dans la colonne Bad installé sur votre site, nous vous recommandons de mettre à niveau immédiatement vers la version dans la colonne Clean . Il convient de noter que les thèmes installés via WordPress.org sont propres, même s’ils sont répertoriés dans la colonne Mauvais . Nous recommandons toujours la mise à niveau vers la version propre connue pour être du bon côté.

Les thèmes sans numéro de version dans la colonne Nettoyer n’ont pas encore été mis à niveau, et nous vous recommandons de le remplacer par un autre thème si possible.

Theme slugBadClean
accessbuddy1.0.0
accesspress-basic3.2.13.2.2
accesspress-lite2.922.93
accesspress-mag2.6.52.6.6
accesspress-parallax4.54.6
accesspress-ray1.19.5
accesspress-root2.52.6.0
accesspress-staple1.9.1
accesspress-store2.4.92.5.0
agency-lite1.1.61.1.7
aplite1.0.6
bingle1.0.41.0.5
bloger1.2.61.2.7
construction-lite1.2.51.2.6
doko1.0.271.1.0
enlighten1.3.51.3.6
fashstore1.2.1
fotography2.4.02.4.1
gaga-corp1.0.8
gaga-lite1.4.2
one-paze2.2.8
parallax-blog3.1.1574941215
parallaxsome1.3.61.3.7
punte1.1.21.1.3
revolve1.3.1
ripple1.2.01.2.1
scrollme2.1.0
sportsmag1.2.1
storevilla1.4.11.4.2
swing-lite1.1.91.2.0
the-launcher1.3.21.3.3
the-monday1.4.1
uncode-lite1.3.1
unicon-lite1.2.61.2.7
vmag1.2.71.2.8
vmagazine-lite1.3.51.3.7
vmagazine-news1.0.51.0.6
zigcy-baby1.0.61.0.7
zigcy-cosmetics1.0.51.0.6
zigcy-lite2.0.92.1.0
Thèmes et Versions compromises par une attaque.

Plugins concernés

Si vous avez l’un des plugins suivants avec un numéro de version dans la colonne Bad installé sur votre site, nous vous recommandons de mettre à niveau immédiatement vers la version dans la colonne Clean . Il convient de noter que les plugins installés via WordPress.org sont propres, même s’ils sont répertoriés dans la colonne Mauvais . Nous recommandons toujours la mise à niveau vers la version propre connue pour être du bon côté.

Les plugins sans numéro de version dans la colonne Clean n’ont pas encore été mis à jour, et nous vous recommandons de les remplacer par d’autres plugins si possible.

Plugin slugBadCleanNote
accesspress-anonymous-post2.8.02.8.11
accesspress-custom-css2.0.12.0.2
accesspress-custom-post-type1.0.81.0.9
accesspress-facebook-auto-post2.1.32.1.4
accesspress-instagram-feed4.0.34.0.4
accesspress-pinterest3.3.33.3.4
accesspress-social-counter1.9.11.9.2
accesspress-social-icons1.8.21.8.3
accesspress-social-login-lite3.4.73.4.8
accesspress-social-share4.5.54.5.6
accesspress-twitter-auto-post1.4.51.4.6
accesspress-twitter-feed1.6.71.6.8
ak-menu-icons-lite1.0.9
ap-companion1.0.72
ap-contact-form1.0.61.0.7
ap-custom-testimonial1.4.61.4.7
ap-mega-menu3.0.53.0.6
ap-pricing-tables-lite1.1.21.1.3
apex-notification-bar-lite2.0.42.0.5
cf7-store-to-db-lite1.0.91.1.0
comments-disable-accesspress1.0.71.0.8
easy-side-tab-cta1.0.71.0.8
everest-admin-theme-lite1.0.71.0.8
everest-coming-soon-lite1.1.01.1.1
everest-comment-rating-lite2.0.42.0.5
everest-counter-lite2.0.72.0.8
everest-faq-manager-lite1.0.81.0.9
everest-gallery-lite1.0.81.0.9
everest-google-places-reviews-lite1.0.92.0.0
everest-review-lite1.0.7
everest-tab-lite2.0.32.0.4
everest-timeline-lite1.1.11.1.2
inline-call-to-action-builder-lite1.1.01.1.1
product-slider-for-woocommerce-lite1.1.51.1.6
smart-logo-showcase-lite1.1.71.1.8
smart-scroll-posts2.0.82.0.9
smart-scroll-to-top-lite1.0.31.0.4
total-gdpr-compliance-lite1.0.41.0.5
total-team-lite1.1.11.1.2
ultimate-author-box-lite1.1.21.1.3
ultimate-form-builder-lite1.5.01.5.1
woo-badge-designer-lite1.1.01.1.1
wp-1-slider1.2.91.3.0
wp-blog-manager-lite1.1.01.1.2
wp-comment-designer-lite2.0.32.0.4
wp-cookie-user-info1.0.71.0.8
wp-facebook-review-showcase-lite1.0.9
wp-fb-messenger-button-lite2.0.7
wp-floating-menu1.4.41.4.5
wp-media-manager-lite1.1.21.1.3
wp-popup-banners1.2.31.2.4
wp-popup-lite1.0.8
wp-product-gallery-lite1.1.11.1.3
Tableau 2 : Plugins, versions compromises par l’attaque ainsi que les versions propres connues,

Recommandations

Si vous avez des thèmes ou des plugins installés directement à partir des thèmes AccessPress ou de tout autre endroit à l’exception de WordPress.org, vous devez immédiatement passer à une version sécurisée, comme indiqué dans les tableaux ci-dessus. Si aucune version sécurisée n’est disponible, remplacez-la par la dernière version de WordPress.org.

Veuillez noter que cela ne supprime pas la porte dérobée de votre système, vous devez donc en plus réinstaller une version propre de WordPress pour annuler les modifications du fichier principal effectuées lors de l’installation de la porte dérobée.

Si vous avez un thème ou un plugin payant d’AccessPress Themes/Access Keys, nous vous conseillons de contacter leur support pour obtenir de l’aide.

Nous vous recommandons vivement d’avoir un plan de sécurité pour votre site qui inclut l’analyse et la sauvegarde des fichiers malveillants . Jetpack Security est une excellente option de sécurité WordPress pour garantir la sécurité de votre site et de vos visiteurs. Jetpack Scan a détecté toutes les variantes de cette porte dérobée et du dropper depuis le 30 septembre.

Des investigations sont en cours, cependant les sites régulièrement mis à jour et protégés par des pare feu ne sont pas touchés.

Il est a noter que cette alerte est restée dans les pages de JetPak sans sortir de là, ce qui est dommage.

Mais compte tenu de la fermeture de accesspressthemes.com il n’est plus possible de faire de mises à jour et il est donc fortement recommandé de scanner les installations et de changer le thème le plus rapidement possible.

Pascal Bazzea, mis à jour le 28/12/2022

Laisser un commentaire