Sammanfattning
Vi svarar på en säkerhetsincident som påverkar PushEngage. En angripare fick tillgång till en autentiseringsuppgift för vårt innehållsleveransnätverk (CDN) och använde den för att leverera en manipulerad version av JavaScript-filen som dessa produkter levererar till kundwebbplatser. Under en begränsad tid laddade webbplatser som bäddar in vårt skript denna modifierade fil direkt från vårt CDN.
Den skadliga koden aktiverades endast för inloggade WordPress-administratörer. När den kördes på en drabbad webbplats försökte den skapa ett dolt administratörskonto och installera ett dolt bakdörrsprogram, och skickade sedan data till en server som kontrolleras av angriparen. Vanliga webbplatsbesökare var inte måltavlor, men eftersom koden kan ge en angripare kontroll över en webbplats, bör alla drabbade webbplatser behandlas som komprometterade.
Omfattning – vad som nåddes och inte nåddes:
Våra applikationsservrar, vår källkod och systemen som lagrar din PushEngage-kontoinformation finns separat och har inte komprometterats. Vi har inga bevis för att kontodata eller personliga uppgifter som vi lagrar har åtkommits. Komprometteringen var begränsad till vår marknadsföringswebbplatsserver och, via en CDN API-nyckel som lagrades där, vårt CDN-konto. Viktigt är att detta inte minskar brådskan för drabbade webbplatsägare: filen som levererades till din webbplats var manipulerad, vilket är anledningen till att stegen nedan fortfarande är viktiga om du befann dig inom exponeringsfönstret.
Vem behöver agera nu: Om din webbplats hade PushEngage aktivt och en administratör var inloggad under exponeringsfönstret nedan, vänligen behandla din webbplats som komprometterad och följ [Vad du ska kontrollera och göra](#what-to-check-and-do) omedelbart. De mest pålitliga kontrollerna sker på din server, inte i WordPress-instrumentpanelen.
Exponeringsfönster
Baserat på loggar från vår CDN-leverantör var den obehöriga konfigurationen med manipulerade filer på plats i ungefär flera timmar den 12 juni 2026 (UTC). För en delmängd av användare fortsatte den att levereras fram till den 14 juni (UTC) från vissa CDN-kantplatser. Vi fortsätter att bekräfta den exakta perioden då drabbad innehåll levererades och kommer att uppdatera detta meddelande när ytterligare detaljer har verifierats.
Endast webbplatser som laddade det drabbade skriptet med en administratör inloggad under detta fönster kan ha komprometterats.
De drabbade filerna var de standardinbäddade skripten som levererades från:
- https://clientcdn.pushengage.com/sdks/pushengage-web-sdk.js (PushEngage)
- https://clientcdn.pushengage.com/sdks/pushengage-subscription.js (PushEngage)
Vad hände
En angripare utnyttjade en känd sårbarhet i ett tredjeparts WordPress-plugin (UpdraftPlus) för att få tillgång till servern som hostar vår marknadsföringswebbplats. Denna server är helt separat: annan värd, annan infrastruktur från applikationsservrarna som kör PushEngage och som lagrar kunddata.
P esenteraren hittade en API-nyckel till vårt CDN-konto p esenteraren p esenteraren marknadsf esenteraren server. Med den nyckeln beh esenteraren de inte alls vidr esenteraren v esenteraren applikationsursprung. De esenteraren filerna som v esenteraren CDN levererade, s esenteraren det manipulerade skriptet levererades till webbplatser som b esenteraren in det under en begr esenteraren period innan vi uppt esenteraren och esenteraren esenteraren.
Vi har sedan dess esenteraren marknadsf esenteraren webbplatsen, migrerat den till en ny server och rullat esenteraren alla autentiseringsuppgifter, inklusive CDN API-nyckeln.
Vad den skadliga koden gjorde
P esenteraren en p esenteraren webbplats, n esenteraren en inloggad administrat esenteraren laddade en sida, f esenteraren koden att:
- Bekr esenteraren att den k esenteraren i en WordPress-administrat esenteraren kontext, och samlade sedan in de s esenteraren tokens som beh esenteraren f esenteraren agera som den administrat esenteraren.
- Skapa ett dolt administrat esenteraren konto. K esenteraren konton inkluderar developer_api1 ([email protected]) och slumpm esenteraren konton av formen dev_xxxxxx.
- Installera ett sj esenteraren dolt bakd esenteraren plugin som d esenteraren sig sj esenteraren fr esenteraren instrumentpanelen och exponerar ett oautentiserat webbskal och kodexekveringsslutpunkt — vilket effektivt ger full kontroll esenteraren webbplatsen.
- Skicka de nya autentiseringsuppgifterna och webbplatsdetaljerna till en angriparkontrollerad server.
Eftersom bakd esenteraren d esenteraren sig fr esenteraren WordPress administrat esenteraren sk esenteraren, kommer instrumentpanelen ensam inte att ber esenteraren om du esenteraren p esenteraren. De p esenteraren kontrollerna finns p esenteraren serverns filsystem och via en serversideskanning.
Vad du ska kontrollera och g esenteraren
Om du hade PushEngage ig esenteraren p esenteraren din webbplats OCH en administrat esenteraren loggade in p esenteraren din WordPress-webbplats under exponeringsf esenteraren, g esenteraren f esenteraren f esenteraren s esenteraren. Om du esenteraren os esenteraren om en administrat esenteraren var inloggad, esenteraren det s esenteraren att kontrollera.
- Ta bort olovliga administrat esenteraren konton. Leta efter developer_api1 / [email protected] och eventuella ov esenteraren dev_xxxxxx konton, och ta bort dem.
- Kontrollera filsystemet – inte bara instrumentpanelen – efter bakd esenteraren plugin. Under wp-content/plugins, leta efter content-delivery-helper (“Content Delivery Helper”) eller database-optimizer (“Database Optimizer”). F esenteraren roterar, s esenteraren lita p esenteraren vad som finns p esenteraren disk esenteraren vad instrumentpanelen visar. Ta bort alla du hittar.
- K esenteraren en serversideskanning efter skadlig kod. Eftersom nyttolasten bara k esenteraren f esenteraren inloggade administrat esenteraren, esenteraren instrumentpanelen och klientsideskontroller op esenteraren; en serversideskanning esenteraren det mest p esenteraren s esenteraren att hitta bakd esenteraren eller andra esenteraren.
- Om du hittar n esenteraren indikation ovan, anta fullst esenteraren kompromettering och rotera allt: administrat esenteraren l esenteraren, applikations-/API-nycklar, databasautentiseringsuppgifter och dina WordPress-s esenteraren nycklar/salter i wp-config.php. Bakd esenteraren till esenteraren godtycklig kodexekvering, s esenteraren ytterligare persistens kan finnas.
Om du inte hittar n esenteraren av dessa indikatorer och ingen administrat esenteraren var inloggad under f esenteraren, esenteraren din webbplats med stor sannolikhet op esenteraren och ingen esenteraren kr esenteraren ut esenteraren standardhygien (aktivera tv esenteraren faktorer-autentisering, h esenteraren programvara uppdaterad).
Vad vi har gjort hittills
- Uppt esenteraren manipuleringen och esenteraren omedelbart de ber esenteraren CDN-filerna; rensade CDN-cachen s esenteraren rena filer levereras.
- Återkallade och rullade esenteraren CDN API-nyckeln och alla relaterade autentiseringsuppgifter.
- Åtgärdade den komprometterade marknadsföringswebbplatsen och migrerade den till en ny server på separat infrastruktur.
- Bekräftat att våra applikationsservrar, källkod och kunddatasystem som finns på separat infrastruktur inte visar några tecken på åtkomst.
- Engagerade vårt säkerhetsteam och samarbetar med vår CDN-leverantör för att erhålla leveransloggar.
Status och pågående risk
Vår CDN-konfiguration har korrigerats och de manipulerade filerna har tagits bort, de berörda autentiseringsuppgifterna har roterats och åtkomstpunkten på vår marknadsföringsserver har åtgärdats.
Att åtgärda våra system rensar inte en webbplats som redan har komprometterats. Om din webbplats påverkades under exponeringsfönstret, finns det skadliga administratörskontot och den dolda bakdörrspluginen kvar tills du tar bort dem med hjälp av stegen ovan. Vi rekommenderar att du agerar snabbt. Vi kommer att uppdatera den här sidan om ytterligare relevant information framkommer.
Indikatorer på kompromettering
För webbplatsägare och säkerhetsteam:
Skadliga konton:
- developer_api1 / [email protected] (fastställt operatörskonto)
- dev_xxxxxx / [email protected] (slumpmässiga konton)
Bakdörrsplugin-förklädnader (roterande; kontrollera filsystemet):
- content-delivery-helper “Content Delivery Helper” v2.7.1
- database-optimizer “Database Optimizer” v2.9.4
Angripares infrastruktur:
- tidio.cc (liknande domän — INTE den legitima tidio.com)
Unika strängar:
- jX9kM2nP4qR6sT8v (krypteringsnyckel som används av skadlig kod)
- WPM File Manager & Shell (bakdörrs-shell-gränssnitt)
Kontakt
Om du har frågor, behöver hjälp med att kontrollera din webbplats eller märker något ovanligt, kontakta oss på [email protected]. Vi prioriterar incidentrelaterade förfrågningar och kommer att hålla den här sidan uppdaterad.
Att skydda våra kunder är en prioritet för oss. Vi förstår att denna incident kan vara oroande, och vi beklagar eventuella störningar den har orsakat. Informationen ovan återspeglar vår utredning hittills, och vi kommer att uppdatera den här sidan när ytterligare detaljer bekräftas.