Resumé
Vi reagerer på en sikkerhedshændelse, der påvirker PushEngage. En angriber fik adgang til legitimationsoplysninger til vores indholdsleveringsnetværk (CDN) og brugte dem til at levere en manipuleret version af JavaScript-filen, som disse produkter leverer til kundewebsteder. I et begrænset tidsrum indlæste websteder, der indlejrer vores script, denne modificerede fil direkte fra vores CDN.
Den ondsindede kode aktiverede kun for WordPress-administratorer, der var logget ind. Da den kørte på et berørt websted, forsøgte den at oprette en skjult administratorbruger og installere et skjult backdoor-plugin, og sendte derefter data til en server kontrolleret af angriberen. Almindelige besøgende på webstedet var ikke målrettet, men da koden kan give en angriber kontrol over et websted, bør ethvert berørt websted behandles som kompromitteret.
Omfang – hvad blev nået, og hvad blev ikke nået:
Vores applikationsservere, vores kildekode og de systemer, der gemmer dine PushEngage-kontooplysninger, er hostet separat og blev ikke kompromitteret. Vi har ingen beviser for, at kontooplysninger eller personlige detaljer, som vi opbevarer, blev tilgået. Kompromitteringen var begrænset til vores marketingwebstedsserver og, via en CDN API-nøgle gemt på den, vores CDN-konto. Vigtigst er, at dette ikke reducerer vigtigheden for berørte webstedsejere: filen, der blev leveret til dit websted, var manipuleret, hvilket er grunden til, at trinene nedenfor stadig er vigtige, hvis du var inden for eksponeringsvinduet.
Hvem skal handle nu: Hvis dit websted havde PushEngage aktivt, og en administrator var logget ind under eksponeringsvinduet nedenfor, skal du behandle dit websted som kompromitteret og følge [Hvad du skal tjekke og gøre](#what-to-check-and-do) med det samme. De mest pålidelige tjek sker på din server, ikke i WordPress-dashboardet.
Eksponeringsvindue
Baseret på vores CDN-providers logfiler var den uautoriserede konfiguration med manipulerede filer på plads i cirka flere timer den 12. juni 2026 (UTC). For en delmængde af brugere fortsatte den med at blive leveret indtil den 14. juni (UTC) fra visse CDN-kantlokationer. Vi fortsætter med at bekræfte den præcise periode, hvor berørt indhold blev leveret, og vil opdatere denne meddelelse, efterhånden som yderligere detaljer verificeres.
Kun websteder, der indlæste det berørte script, med en administrator logget ind under dette vindue, kunne være blevet kompromitteret.
De berørte filer var de standard indlejringsscripts, der blev leveret fra:
- https://clientcdn.pushengage.com/sdks/pushengage-web-sdk.js (PushEngage)
- https://clientcdn.pushengage.com/sdks/pushengage-subscription.js (PushEngage)
Hvad skete der
En angriber udnyttede en kendt sårbarhed i et tredjeparts WordPress-plugin (UpdraftPlus) til at få adgang til serveren, der hoster vores marketingwebsted. Denne server er helt separat: anden vært, anden infrastruktur end applikationsserverne, der kører PushEngage og gemmer kundedata.
På marketing-serveren fandt angriberen en API-nøgle til vores CDN-konto. Ved at bruge den nøgle behøvede de slet ikke at røre vores applikations-origin. De ændrede de filer, som vores CDN leverede, så det manipulerede script blev leveret til websteder, der indlejrede det i en begrænset periode, før vi opdagede og rullede ændringen tilbage.
Vi har siden udbedret marketing-webstedet, migreret det til en ny server og roteret alle legitimationsoplysninger, inklusive CDN API-nøglen.
Hvad den ondsindede kode gjorde
På et påvirket websted, når en logget ind administrator indlæste en side, forsøgte koden at:
- Bekræfte, at den kørte i en WordPress admin-kontekst, og derefter indsamle de sikkerhedstokens, der var nødvendige for at handle som den administrator.
- Oprette en skjult administrator-konto. Kendte konti inkluderer developer_api1 ([email protected]) og randomiserede konti af formen dev_xxxxxx.
- Installere et selvskjult backdoor-plugin, der skjuler sig selv fra dashboardet og eksponerer en uautoriseret web shell og kode-eksekverings-endpoint — hvilket effektivt giver fuld kontrol over webstedet.
- Sende de nye legitimationsoplysninger og webstedsdetaljer til en angriber-kontrolleret server.
Fordi backdooren skjuler sig fra WordPress admin-skærmene, vil dashboardet alene ikke fortælle dig, om du er påvirket. De pålidelige kontroller er på serverens filsystem og via en server-side scanning.
Hvad du skal tjekke og gøre
Hvis du havde PushEngage kørende på dit websted OG en administrator logget ind på dit WordPress-websted under eksponeringsvinduet, skal du gøre følgende så hurtigt som muligt. Hvis du er usikker på, om en administrator var logget ind, er det sikrest at tjekke.
- Fjern uautoriserede administrator-konti. Kig efter developer_api1 / [email protected] og eventuelle uventede dev_xxxxxx-konti, og slet dem.
- Tjek filsystemet – ikke kun dashboardet – for backdoor-pluginnet. Under wp-content/plugins, kig efter content-delivery-helper (“Content Delivery Helper”) eller database-optimizer (“Database Optimizer”). Forklædningen roterer, så stol på det, der er på disken, frem for det, dashboardet viser. Fjern eventuelle, du finder.
- Kør en server-side malware-scanning. Fordi payloaden kun kørte for loggede ind administratorer, er dashboard- og klient-side-kontroller upålidelige; en server-side scanning er den mest pålidelige måde at finde backdooren eller yderligere ændringer.
- Hvis du finder nogen af ovenstående indikatorer, skal du antage fuld kompromittering og rotere alt: administrator-adgangskoder, applikations-/API-nøgler, database-legitimationsoplysninger og dine WordPress-sikkerhedsnøgler/salte i wp-config.php. Backdooren tillod vilkårlig kodeeksekvering, så yderligere persistens kan eksistere.
Hvis du ikke finder nogen af disse indikatorer, og der ikke var nogen administrator logget ind under vinduet, er dit websted meget sandsynligt upåvirket, og ingen handling er påkrævet ud over standardhygiejne (aktiver to-faktor-godkendelse, hold software opdateret).
Hvad vi har gjort indtil videre
- Opdagede manipulationen og rullede straks de berørte CDN-filer tilbage; rensede CDN-cachen, så rene filer blev leveret.
- Tilbagekaldte og roterede CDN API-nøglen og alle relaterede legitimationsoplysninger.
- Udbedret den kompromitterede marketinghjemmeside og migreret den til en ny server på separat infrastruktur.
- Bekræftet, at vores applikationsservere, kildekode og kundedatasystemer, som er på separat infrastruktur, viser ingen tegn på adgang.
- Engageret vores sikkerhedsteam og arbejder med vores CDN-udbyder for at indhente leveringslogs.
Status og igangværende risiko
Vores CDN-konfiguration er blevet rettet, og de manipulerede filer er fjernet, de berørte legitimationsoplysninger er blevet roteret, og indgangspunktet på vores marketing-server er blevet udbedret.
Udbedring af vores systemer renser ikke et websted, der allerede var kompromitteret. Hvis dit websted blev påvirket under eksponeringsvinduet, forbliver den ondsindede administrator-konto og skjulte backdoor-plugin på plads, indtil du fjerner dem ved hjælp af ovenstående trin. Vi anbefaler at handle hurtigt. Vi vil opdatere denne side, hvis yderligere relevant information fremkommer.
Indikatorer på kompromittering
For webstedsejere og sikkerhedsteams:
Ondsindede konti:
- developer_api1 / [email protected] (fast operatørkonto)
- dev_xxxxxx / [email protected] (tilfældige konti)
Backdoor-plugin forklædninger (roterer; tjek filsystemet):
- content-delivery-helper “Content Delivery Helper” v2.7.1
- database-optimizer “Database Optimizer” v2.9.4
Angriberinfrastruktur:
- tidio.cc (lignende domæne — IKKE det legitime tidio.com)
Unikke strenge:
- jX9kM2nP4qR6sT8v (krypteringsnøgle brugt af malwaren)
- WPM File Manager & Shell (backdoor shell-interface)
Kontakt
Hvis du har spørgsmål, har brug for hjælp til at tjekke dit websted, eller bemærker noget usædvanligt, kontakt os på [email protected]. Vi prioriterer henvendelser relateret til hændelsen og vil holde denne side opdateret.
Beskyttelse af vores kunder er en prioritet for os. Vi forstår, at denne hændelse kan være bekymrende, og vi beklager enhver forstyrrelse, den har forårsaget. Oplysningerne ovenfor afspejler vores undersøgelse til dato, og vi vil opdatere denne side, efterhånden som yderligere detaljer bekræftes.