
Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.
У плагіні для WordPress Captcha, що налічує понад 300 тисяч установок, виявлений бекдор. Команда WordPress своєчасно видалила його з офіційного репозиторія, а також примусово оновила своїх клієнтів, запропонувавши чисті версії плагіна.
Виявлення бекдора в Captcha
Captcha був створений компанією BestWebSoft, і його безкоштовна версія була продана ще у вересні 2017 року сторонньому розробникові Simply WordPress. На початку грудня новий власник плагіна представив нову версію Captcha 4.3.7, яка і містила шкідливий код.
Він примушував плагін підключатися до зовнішнього домена simplywordpress.net, завантажувати оновлення в обхід офіційного репозиторія WordPress.org. Така дія заборонена правилами WordPress. Крім того, встановлюване оновлення містило повноцінний бекдор.
Цей бекдор створює сесію, використовуючи user ID 1 (за умовчанням це обліковий запис адміністратора, який створюється під час першої установки WordPress), встановлює аутентифікаційні куки, а потім видаляє себе. При цьому його установка жодним способом не виявляється.
Справа випадку
Плагін і його дії випадково привернули увагу розробників. Новий автор використав у назві торгову марку WordPress, що порушує авторські права. Через це команда WordPress вимушена була видалити Captcha з офіційного репозиторія, в такий спосіб і привернула увагу співробітників Wordfence.
Щойно репозиторій WordPress видаляє плагін з величезною клієнтською базою, ми починаємо перевірку події. Можливо, видалення пов’язане з проблемами безпеки плагіна.
Після виявлення бекдора WordPress замінила плагін на чисту версію 4.4.5 і почала примусово оновлювати постраждалі веб-сайти, видаляючи версії з бекдорами. За словами представників команди WordPress, протягом попередніх вихідних вдалося оновити більше як сто тисяч веб-сайтів. Усі вони отримали чисті версії Captcha.
Ще декілька плагінів із вразливостями
Дослідники Wordfence проаналізували діяльність Simply WordPress і виявили, що домен simplywordpress.net поширює оновлення з бекдорами також для інших плагінів. Жоден з них не представлений в репозиторії WordPress:
- Covert me Popup;
- Death To Comments;
- Human Captcha;
- Smart Recaptcha;
- Social Exchange.
Особа зловмисника встановлена
Проаналізувавши результати проведеного розслідування, експерти Wordfence дійшли висновку, що Simply WordPress пов’язана з Мейсоном Сойза, який вже був викритий на впровадженні вірусів у плагін Display Widgets. Він використав скомпрометовані версії плагінів для вставки прихованих зворотних посилань на спам-домени. У їх числі було посилання на Payday Loans – компанію, якою володіє Сойза. Мета його хитрощів – поліпшене ранжування сайтів у результатах видачі пошукових систем.
Джерело: Bleeping Computer
Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?
Плагіни wordpress постійно піддається різним атакам, добре що технічна команда вкотре підкреслила свій професіоналізм, і не дала зловмисникам закінчити розпочате. Все одно завдяки подібним атакам, захист плагіну буде зміцнений, і зловмисникам буде дедалі важче його обходити, а технічній команді буде над чим попрацювати та набиратися досвіду.
Раптова така інформація навіть для мене програміста з 2 роками за спиною!) Добре, що розробники цього плагіна швидко виявили цю проблему бекдора WordPress і замінили плагін на чисту версію 4.4.5. Тим самим почали примусово оновлювати постраждалі сайти, видаляючи версії з бекдор … Найголовніше Дослідники Wordfence проаналізували діяльність Simply WordPress і виявили, що домен simplywordpress.net поширює оновлення з бекдор також для інших плагінів.