Smart Slider 업데이트가 탈취되어 악성 WordPress, Joomla 버전을 배포
Source: Bleeping Computer
사건 요약
해커가 WordPress와 Joomla용 Smart Slider 3 Pro 플러그인의 업데이트 시스템을 탈취해 여러 백도어가 포함된 악성 버전을 배포했습니다.
개발자는 영향을 받는 것이 Pro 버전 3.5.1.35뿐이며, 즉시 최신 버전(현재 3.5.1.36)이나 3.5.1.34 이하 버전으로 전환할 것을 권고했습니다.
악성 업데이트 동작
- 여러 위치에 백도어를 설치합니다.
- 관리자 권한을 가진 숨김 사용자를 생성합니다.
- 민감한 데이터를 탈취합니다.
Smart Slider 3 for WordPress는 실시간 슬라이더 편집기를 통해 반응형 슬라이더를 만들 수 있게 해 주며, 방대한 레이아웃과 디자인을 제공해 90만 개 이상의 웹사이트에서 사용되고 있습니다.
공급업체에 따르면 위협 행위자는 4월 7일에 악성 업데이트를 배포했으며, 일부 웹사이트가 이를 설치했을 가능성이 있습니다.
PatchStack의 분석에 따르면, 이 악성코드는 플러그인의 메인 파일에 삽입된 완전한 기능을 갖춘 다계층 툴킷으로, Smart Slider의 정상적인 기능은 그대로 유지됩니다. 주요 특징은 다음과 같습니다:
- 조작된 HTTP 헤더를 통한 원격 명령 실행(인증 필요 없음).
- PHP
eval및 OS 명령 실행을 포함한 두 번째 인증된 백도어와 자동화된 자격 증명 탈취. - 여러 계층을 통한 지속성:
- 숨김 관리자 계정을 생성하고 데이터베이스에 자격 증명을 저장합니다.
- 정식 캐시 컴포넌트로 위장한
mu-plugins디렉터리를 만들어 필수 플러그인으로 배치합니다. - 활성 테마의
functions.php에 백도어를 삽입합니다. wp‑includes에 PHP 파일을 배치해 핵심 WordPress 클래스를 모방하고,.cache_key파일에서 인증 키를 읽어 데이터베이스 자격 증명 변경에도 살아남게 합니다.
숨김 관리자 계정 생성 – 출처: PatchStack
공급업체는 또한 Joomla 설치에 대한 경고를 발표했으며, 버전 3.5.1.35의 악성 코드가 숨김 관리자 계정(보통 wpsvc_ 접두사) 을 만들고 /cache와 /media 디렉터리에 추가 백도어를 설치하며 사이트 정보와 자격 증명을 탈취할 수 있다고 밝혔습니다.
Smart Slider Joomla 보안 권고 (3.5.1.35 침해)
권장 조치
- 악성 업데이트가 April 7에 배포되었습니다. Smart Slider 팀은 시간대 차이를 고려하여 백업 복원을 위한 가장 안전한 날짜로 April 5를 사용할 것을 권장합니다.
- 깨끗한 백업이 없는 경우, 손상된 플러그인을 제거하고 깨끗한 버전(3.5.1.36)을 설치하십시오.
즉각적인 복구 단계
- 악성 사용자, 파일 및 데이터베이스 항목을 삭제합니다.
- 신뢰할 수 있는 출처에서 WordPress 코어, 플러그인 및 테마를 재설치합니다.
- 모든 자격 증명(WordPress, 데이터베이스, FTP/SSH, 호스팅, 이메일)을 교체합니다.
- WordPress 보안 키(솔트)를 재생성합니다.
- 남은 악성코드를 스캔하고 로그를 검토합니다.
공급업체는 WordPress와 Joomla를 위한 다단계 수동 정리 가이드를 제공하며, 사이트를 유지보수 모드로 전환하고 백업하는 것으로 시작합니다. 이후 관리자는 다음을 수행해야 합니다:
- 권한이 없는 관리자 사용자를 제거합니다.
- 모든 악성 구성 요소를 삭제합니다.
- 새로운 코어 파일, 플러그인 및 테마를 설치합니다.
- 모든 비밀번호를 재설정합니다.
- 철저한 악성코드 스캔을 수행합니다.
보안 강화 권고 사항
- 2단계 인증(2FA)을 활성화합니다.
- 모든 구성 요소를 최신 버전으로 유지합니다.
- 관리자 접근을 신뢰할 수 있는 IP 또는 사용자로 제한합니다.
- 모든 계정에 강력하고 고유한 비밀번호를 사용합니다.