Δημοφιλές WordPress plugin εμπεριέχει κακόβουλο κώδικα που εγκαθιστά backdoor

[nnn]

Ένα WordPress plugin με πάνω από 300 χιλιάδες εγκαταστάσεις, βρέθηκε να έχει τροποποιηθεί πρόσφατα ώστε να εγκαθιστά ένα κρυφό backdoor στα θύματα του. Το δημοφιλές plugin είναι το Captcha και ως τον Σεπτέμβριο η συντήρηση του γινόταν από την αξιόπιστη BestWebSoft, δημιουργό πολλών άλλων WordPress plugins.

Η BestWebSoft πούλησε τον Σεπτέμβριο την δωρεάν έκδοση του Captcha σε τρίτο developer, την Simply WordPress, που 3 μήνες μετά, ανέβασε την έκδοση 4.3.7 του Captcha με το hidden backdoor.

Exactly three months after the sale, the plugin's new owner shipped Captcha version 4.3.7, which contained malicious code that would connect to the simplywordpress.net domain and download a plugin update package from outside the official WordPress repository (against WordPress.org rules). This sneaky update package would install a backdoor on sites using the plugin.

"This backdoor creates a session with user ID 1 (the default admin user that WordPress creates when you first install it), sets authentication cookies, and then deletes itself," says Matt Barry, Wordfence security researcher. "The backdoor installation code is unauthenticated, meaning anyone can trigger it."

Further, there's also code to trigger a clean update that removes any traces of the back door, just in case the attacker decides to erase all his tracks.

Το κακόβουλο plugin εντοπίστηκε τυχαία από την WordPress δημιουργό του Web Application Firewall για WordPress.

Η ομάδα του WordPress μετά την ενημέρωση της ανέβασε στο repository την καθαρή έκδοση 4.45 του Captcha, την οποία κάνουν force-install στα επηρεασμένα sites.

Η Simply WordPress φέρεται να εμπλέκεται και σε παλιότερες περιπτώσεις μόλυνσης plugins με κακόβουλο κώδικα, μετά την απόκτηση τους.

Πηγή : Bleeping Computer

[eyw]

τους κατάλαβαν, τώρα πάνε για άλλα.
Τι κάνει το backdoor που έβαζαν?

[Billionaire]

Πόσα άλλα τέτοια θα υπάρχουν ένας θεός ξέρει.

Εδώ πήρα κάτι κάμερες foscam για το εξοχικό και το φόρουμ λέει ότι επικοινωνούν με ξένους σερβερς στη Βουλγαρία!
Να ξέρει η Βουλγαρική μαφία πότε λείπουμε να επιχειρήσει να κλέψει.

[DVader]

Πόσα άλλα τέτοια θα υπάρχουν ένας θεός ξέρει.

Εδώ πήρα κάτι κάμερες foscam για το εξοχικό και το φόρουμ λέει ότι επικοινωνούν με ξένους σερβερς στη Βουλγαρία!
Να ξέρει η Βουλγαρική μαφία πότε λείπουμε να επιχειρήσει να κλέψει.

Όταν επιτρέπεις στις κάμερες να έχουν απευθείας πρόσβαση στο Internet αυτά ναι μπορεί να συμβούν ...
Αν τηρείς κάποιες πολιτικές κάνεις ότι καλύτερο μπορείς για να προστατευτείς ... Βέβαια 100% δεν είσαι ποτέ αλλά από τίποτα...

- - - Updated - - -

Ειδικά στις κάμερες ποτέ απευθείας πρόσβαση ..και με ξεχωριστό subnet... από το υπόλοιπο δίκτυο και σε δικό του ξεχωριστό switch που δεν επικοινωνεί με το δίκτυο των υπολογιστών ...

[eyw]

ότι τα κινέζικα έρχονται φορτωμένα με πράματα είναι γνωστό, αλλά γιατί οι κάμερες σε χώρια subnet?

[sdikr]

μπαίνω και εγώ να διαβάσω για το wordpress και βλέπω κάμερες.......

Ας σταματήσουμε εδώ το offtopic σας παρακαλώ

- - - Updated - - -

τους κατάλαβαν, τώρα πάνε για άλλα.
Τι κάνει το backdoor που έβαζαν?

Στην ουσία δίνει πρόσβαση Administrator στο περιβάλλον του wordpress, Μπορεί δηλαδή να αλλάξει την σελίδα σου καταβούληση, να ανεβάσει άλλα κακόβουλα Plugin, να τρέξει κάποιο κακόβουλο script για να αποκτήσει πρόσβαση στον server που φιλοξενεί το wordpress site

[aiolos.01]

Έχει γίνει μάστιγα πια αυτή η ιστορία με τις άγνωστες εταιρίες (συνήθως απο Κίνα) που αγοράζουν δημοφιλή plugins/addons για διάφορες πλατφόρμες και τα μετατρέπουν σε spyware χωρίς να πάρει χαμπάρι κανείς τίποτα.

Για να πω την αλήθεια απο τότε που ο Chainfire πούλησε το supersu μια επιφύλαξη την έχω. Το πρόσφατο φιάσκο με τα περίεργα permissions ίσως να είναι η αρχή μιας κακής πορείας.

[DVader]

Ο Κιμ φταίει ..ΤΟ κάνει επίτηδες για να επιτεθεί στον κόσμο ..

- - - Updated - - -

Πλάκα κάνω ..απλά έχει πολύ γίνει το κακό ...

[akis1009]

Η ομάδα του WordPress μετά την ενημέρωση της ανέβασε στο repository την καθαρή έκδοση 4.45 του Captcha, την οποία κάνουν force-install στα επηρεασμένα sites.

Φαντάζομαι ότι μπορούν να κάνουν force-install ότι θέλουν

[DVader]

Φαντάζομαι ότι μπορούν να κάνουν force-install ότι θέλουν

Ανεξάρτητα με το plugin μπορούν να κάνουν οι του wordpress force install πράγματα...όποτε θέλουν ? Τρομερή ασφάλεια ...

[mzaf]

Ε,ρε γλέντια!!!
https://www.bleepingcomputer.com/new...ng-a-backdoor/

[DVader]

Ε,ρε γλέντια!!!
https://www.bleepingcomputer.com/new...ng-a-backdoor/