Captcha plugin s 300 000 instalacemi obsahuje backdoor - Affinite.io CZ

Populární plugin Captcha, s více než třista tisící aktivními instalacemi, byl na nějakou dobu odstraněn z repositáře WordPressu.

Dle vyjádření vývojáře, šlo o problém s použitím WordPress v názvu pluginu a byl odstraněn do té doby, než bude přebrandován.

WordFence tým sleduje pluginy, s velkou uživatelskou základnou, které jsou z nějakého důvodu odstraněny z repositáře a udělá jejich bezpečnostní audit.

Při kontrole pluginu, byl nalezen tento kód:

Tento kód při automatické aktualizaci stáhne kopii pluginu v zip souboru z webu simplywordpress.net a přeinstaluje aktivní verzi pluginu.

Nová verze obsahuje drobné změny v kódu a soubor plugin-update.php, který je backdoor:

Zavoláním tohoto souboru je umožněn neautorizovaný administrátorský přístup do administrace webu. Navíc je soubor zcela nechráněn a zavolat jej může kdokoliv. Což je splněný sen všech automatizovaných útoků.

Důležité je, že při nainstalování verze s backdoorem, se změní i url, z které byl stažen závadný zip a nahradí se verzí, jenž je totožná s pluginem na WordPress.org. Tím je smazána stopa po backdooru.

Kdo stojí za pluginem Captcha?

Podobně, jako dříve, odvedl tým WordFence přímo detektivní práci.

Psali jsme dříve: https://musilda.cz/skandal-ve-wp-repozitari-plugin-vice-nez-200k-instalacemi-obsahoval-zadni-vratka/

A opakuje se nám zde stejný postup. Původní developer přenechal vývoj pluginu novému vlastníkovi. Původní vývojář, společnost Bestwebsoft informovala o přenechání vývoje 5.9.2017 na svém webu: https://bestwebsoft.com/free-captcha-version-is-now-supported-by-other-developers/

Kdo je ale současný vývojář? To není zcela jasné, pokud vás zajímají podrobnosti, podívejte se na https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/, kde je více informací a opět se zmiňuje jistý Souza, známý z vvýše zmíněného článku.

Plugin je opět v repositáři

Plugin se opět objevil v repositáři na WordPress.org, protože tým WordFence a tým pro pluginy z WordPress.org upravili plugin s backdoorem a vydali jeho novou verzi 4.4.5, jenž je již bezpečná. Zároveň bylo zamezeno majiteli pluginu, nahrávat jakékoliv další aktualizace tohoto pluginu.

Pokud máte na webu plugin https://wordpress.org/plugins/captcha/ nainstalován, buď jej odstraňte, nebo jej co nejrychleji aktualizujte, jinak necháte na webu backdoor s pozvánkou.

Zdroj: https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/

Jak vytvořit odlišné menu pro různé stránky
Jak vytvořit odlišné menu pro různé stránky
19 Pro, 2017
Jak zobrazovat obsah webu v Google Answer Boxu s CTR přes 32 %?
Jak zobrazovat obsah webu v Google Answer Boxu s CTR přes 32 %?
12 Led, 2018

Komentáře nejsou povoleny.

Looking for something?