У плагіні WordPress Captcha виявлений бекдор


Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.

У плагіні для WordPress Captcha, що налічує понад 300 тисяч установок, виявлений бекдор. Команда WordPress своєчасно видалила його з офіційного репозиторія, а також примусово оновила своїх клієнтів, запропонувавши чисті версії плагіна.

Виявлення бекдора в Captcha

Captcha був створений компанією BestWebSoft, і його безкоштовна версія була продана ще у вересні 2017 року сторонньому розробникові Simply WordPress. На початку грудня новий власник плагіна представив нову версію Captcha 4.3.7, яка і містила шкідливий код.

Він примушував плагін підключатися до зовнішнього домена simplywordpress.net, завантажувати оновлення в обхід офіційного репозиторія WordPress.org. Така дія заборонена правилами WordPress. Крім того, встановлюване оновлення містило повноцінний бекдор.

Цей бекдор створює сесію, використовуючи user ID 1 (за умовчанням це обліковий запис адміністратора, який створюється під час першої установки WordPress), встановлює аутентифікаційні куки, а потім видаляє себе. При цьому його установка жодним способом не виявляється.

Метт Беррі, дослідник безпеки компанії Wordfence

Справа випадку

Плагін і його дії випадково привернули увагу розробників. Новий автор використав у назві торгову марку WordPress, що порушує авторські права. Через це команда WordPress вимушена була видалити Captcha з офіційного репозиторія, в такий спосіб і привернула увагу співробітників Wordfence.

Щойно репозиторій WordPress видаляє плагін з величезною клієнтською базою, ми починаємо перевірку події. Можливо, видалення пов’язане з проблемами безпеки плагіна.

Після виявлення бекдора WordPress замінила плагін на чисту версію 4.4.5 і почала примусово оновлювати постраждалі веб-сайти, видаляючи версії з бекдорами. За словами представників команди WordPress, протягом попередніх вихідних вдалося оновити більше як сто тисяч веб-сайтів. Усі вони отримали чисті версії Captcha.

Ще декілька плагінів із вразливостями

Дослідники Wordfence проаналізували діяльність Simply WordPress і виявили, що домен simplywordpress.net поширює оновлення з бекдорами також для інших плагінів. Жоден з них не представлений в репозиторії WordPress:

  • Covert me Popup;
  • Death To Comments;
  • Human Captcha;
  • Smart Recaptcha;
  • Social Exchange.

Особа зловмисника встановлена

Проаналізувавши результати проведеного розслідування, експерти Wordfence дійшли висновку, що Simply WordPress пов’язана з Мейсоном Сойза, який вже був викритий на впровадженні вірусів у плагін Display Widgets. Він використав скомпрометовані версії плагінів для вставки прихованих зворотних посилань на спам-домени. У їх числі було посилання на Payday Loans – компанію, якою володіє Сойза. Мета його хитрощів – поліпшене ранжування сайтів у результатах видачі пошукових систем.

Джерело: Bleeping Computer

Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?


Коментарі 2

  • Плагіни wordpress постійно піддається різним атакам, добре що технічна команда вкотре підкреслила свій професіоналізм, і не дала зловмисникам закінчити розпочате. Все одно завдяки подібним атакам, захист плагіну буде зміцнений, і зловмисникам буде дедалі важче його обходити, а технічній команді буде над чим попрацювати та набиратися досвіду.

  • Раптова така інформація навіть для мене програміста з 2 роками за спиною!) Добре, що розробники цього плагіна швидко виявили цю проблему бекдора WordPress і замінили плагін на чисту версію 4.4.5. Тим самим почали примусово оновлювати постраждалі сайти, видаляючи версії з бекдор … Найголовніше Дослідники Wordfence проаналізували діяльність Simply WordPress і виявили, що домен simplywordpress.net поширює оновлення з бекдор також для інших плагінів.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *