Säkerhetsincident: Manipulerat skript levererat via PushEngage

Senast uppdaterad av Rakesh
LinkedIn

Sammanfattning

Vi svarar på en säkerhetsincident som påverkar PushEngage. En angripare fick tillgång till en autentiseringsuppgift för vårt innehållsleveransnätverk (CDN) och använde den för att leverera en manipulerad version av JavaScript-filen som dessa produkter levererar till kundwebbplatser. Under en begränsad tid laddade webbplatser som bäddar in vårt skript denna modifierade fil direkt från vårt CDN.

Den skadliga koden aktiverades endast för inloggade WordPress-administratörer. När den kördes på en drabbad webbplats försökte den skapa ett dolt administratörskonto och installera ett dolt bakdörrsprogram, och skickade sedan data till en server som kontrolleras av angriparen. Vanliga webbplatsbesökare var inte måltavlor, men eftersom koden kan ge en angripare kontroll över en webbplats, bör alla drabbade webbplatser behandlas som komprometterade.

Omfattning – vad som nåddes och inte nåddes: 

Våra applikationsservrar, vår källkod och systemen som lagrar din PushEngage-kontoinformation finns separat och har inte komprometterats. Vi har inga bevis för att kontodata eller personliga uppgifter som vi lagrar har åtkommits. Komprometteringen var begränsad till vår marknadsföringswebbplatsserver och, via en CDN API-nyckel som lagrades där, vårt CDN-konto. Viktigt är att detta inte minskar brådskan för drabbade webbplatsägare: filen som levererades till din webbplats var manipulerad, vilket är anledningen till att stegen nedan fortfarande är viktiga om du befann dig inom exponeringsfönstret.

Vem behöver agera nu: Om din webbplats hade PushEngage aktivt och en administratör var inloggad under exponeringsfönstret nedan, vänligen behandla din webbplats som komprometterad och följ [Vad du ska kontrollera och göra](#what-to-check-and-do) omedelbart. De mest pålitliga kontrollerna sker på din server, inte i WordPress-instrumentpanelen.

Exponeringsfönster

Baserat på loggar från vår CDN-leverantör var den obehöriga konfigurationen med manipulerade filer på plats i ungefär flera timmar den 12 juni 2026 (UTC). För en delmängd av användare fortsatte den att levereras fram till den 14 juni (UTC) från vissa CDN-kantplatser. Vi fortsätter att bekräfta den exakta perioden då drabbad innehåll levererades och kommer att uppdatera detta meddelande när ytterligare detaljer har verifierats.

Endast webbplatser som laddade det drabbade skriptet med en administratör inloggad under detta fönster kan ha komprometterats.

De drabbade filerna var de standardinbäddade skripten som levererades från:

Vad hände

En angripare utnyttjade en känd sårbarhet i ett tredjeparts WordPress-plugin (UpdraftPlus) för att få tillgång till servern som hostar vår marknadsföringswebbplats. Denna server är helt separat: annan värd, annan infrastruktur från applikationsservrarna som kör PushEngage och som lagrar kunddata.

P esenteraren hittade en API-nyckel till vårt CDN-konto p esenteraren p esenteraren marknadsf esenteraren server. Med den nyckeln beh esenteraren de inte alls vidr esenteraren v esenteraren applikationsursprung. De esenteraren filerna som v esenteraren CDN levererade, s esenteraren det manipulerade skriptet levererades till webbplatser som b esenteraren in det under en begr esenteraren period innan vi uppt esenteraren och esenteraren esenteraren.

Vi har sedan dess esenteraren marknadsf esenteraren webbplatsen, migrerat den till en ny server och rullat esenteraren alla autentiseringsuppgifter, inklusive CDN API-nyckeln.

Vad den skadliga koden gjorde

P esenteraren en p esenteraren webbplats, n esenteraren en inloggad administrat esenteraren laddade en sida, f esenteraren koden att:

  1. Bekr esenteraren att den k esenteraren i en WordPress-administrat esenteraren kontext, och samlade sedan in de s esenteraren tokens som beh esenteraren f esenteraren agera som den administrat esenteraren.
  2. Skapa ett dolt administrat esenteraren konto. K esenteraren konton inkluderar developer_api1 ([email protected]) och slumpm esenteraren konton av formen dev_xxxxxx.
  3. Installera ett sj esenteraren dolt bakd esenteraren plugin som d esenteraren sig sj esenteraren fr esenteraren instrumentpanelen och exponerar ett oautentiserat webbskal och kodexekveringsslutpunkt — vilket effektivt ger full kontroll esenteraren webbplatsen.
  4. Skicka de nya autentiseringsuppgifterna och webbplatsdetaljerna till en angriparkontrollerad server.

Eftersom bakd esenteraren d esenteraren sig fr esenteraren WordPress administrat esenteraren sk esenteraren, kommer instrumentpanelen ensam inte att ber esenteraren om du esenteraren p esenteraren. De p esenteraren kontrollerna finns p esenteraren serverns filsystem och via en serversideskanning.

Vad du ska kontrollera och g esenteraren

Om du hade PushEngage ig esenteraren p esenteraren din webbplats OCH en administrat esenteraren loggade in p esenteraren din WordPress-webbplats under exponeringsf esenteraren, g esenteraren f esenteraren f esenteraren s esenteraren. Om du esenteraren os esenteraren om en administrat esenteraren var inloggad, esenteraren det s esenteraren att kontrollera.

  1. Ta bort olovliga administrat esenteraren konton. Leta efter developer_api1 / [email protected] och eventuella ov esenteraren dev_xxxxxx konton, och ta bort dem.
  1. Kontrollera filsystemet – inte bara instrumentpanelen – efter bakd esenteraren plugin. Under wp-content/plugins, leta efter content-delivery-helper (“Content Delivery Helper”) eller database-optimizer (“Database Optimizer”). F esenteraren roterar, s esenteraren lita p esenteraren vad som finns p esenteraren disk esenteraren vad instrumentpanelen visar. Ta bort alla du hittar.
  1. K esenteraren en serversideskanning efter skadlig kod. Eftersom nyttolasten bara k esenteraren f esenteraren inloggade administrat esenteraren, esenteraren instrumentpanelen och klientsideskontroller op esenteraren; en serversideskanning esenteraren det mest p esenteraren s esenteraren att hitta bakd esenteraren eller andra esenteraren.
  1. Om du hittar n esenteraren indikation ovan, anta fullst esenteraren kompromettering och rotera allt: administrat esenteraren l esenteraren, applikations-/API-nycklar, databasautentiseringsuppgifter och dina WordPress-s esenteraren nycklar/salter i wp-config.php. Bakd esenteraren till esenteraren godtycklig kodexekvering, s esenteraren ytterligare persistens kan finnas.

Om du inte hittar n esenteraren av dessa indikatorer och ingen administrat esenteraren var inloggad under f esenteraren, esenteraren din webbplats med stor sannolikhet op esenteraren och ingen esenteraren kr esenteraren ut esenteraren standardhygien (aktivera tv esenteraren faktorer-autentisering, h esenteraren programvara uppdaterad).

Vad vi har gjort hittills

  • Uppt esenteraren manipuleringen och esenteraren omedelbart de ber esenteraren CDN-filerna; rensade CDN-cachen s esenteraren rena filer levereras.
  • Återkallade och rullade esenteraren CDN API-nyckeln och alla relaterade autentiseringsuppgifter.
  • Remediated the compromised marketing website and migrated it to a new server on separate infrastructure.
  • Confirmed that our application servers, source code, and customer-data systems which are on separate infrastructure show no evidence of access.
  • Engaged our security team and are working with our CDN provider to obtain delivery logs.

Status and ongoing risk

Our CDN configuration has been corrected and the tampered files removed, the affected credentials have been rotated, and the entry point on our marketing server has been remediated. 

Remediating our systems does not clean a site that was already compromised. If your site was affected during the exposure window, the rogue administrator account and hidden backdoor plugin remain in place until you remove them using the steps above. We recommend acting promptly. We will update this page if additional relevant information emerges.

Indicators of compromise

For site owners and security teams:

Rogue accounts:

Backdoor plugin disguises (rotating; check the filesystem):

  • content-delivery-helper   “Content Delivery Helper”   v2.7.1
  • database-optimizer        “Database Optimizer”         v2.9.4

Attacker infrastructure:

  • tidio.cc   (lookalike domain — NOT the legitimate tidio.com)

Unique strings:

  • jX9kM2nP4qR6sT8v            (encryption key used by the malware)
  • WPM File Manager & Shell    (backdoor shell interface)

Kontakt

If you have questions, need help checking your site, or notice anything unusual, contact us at [email protected]. We’re prioritizing incident-related inquiries and will keep this page updated.

Protecting our customers is a priority for us. We understand this incident may be concerning, and we regret any disruption it has caused. The information above reflects our investigation to date, and we will update this page as additional details are confirmed.

Lägg till en kommentar

Vi är glada att du har valt att lämna en kommentar. Tänk på att alla kommentarer modereras enligt vår integritetspolicy, och alla länkar är nofollow. Använd INTE nyckelord i namn fältet. Låt oss ha en personlig och meningsfull konversation.

Engagera och behåll besökare efter att de har lämnat din webbplats

Öka värdet av varje webbesök med push-notiser som är svåra att missa.

Testa PushEngage
  • Evigt gratis-plan
  • Enkel installation
  • 5-stjärnig support

Över 100 miljarder notiser skickade

100 % säker och GDPR-kompatibel

Betrodd av kunder i 150+ länder