The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор

20.12.2017 11:39

В плагине Captcha к системе управления контентом WordPress, который насчитывает более 300 тысяч активных установок, выявлен бэкдор, предоставляющий доступ с правами администратора. После установки обновления в систему устанавливается файл с бэкдором plugin-update.php, который создаёт идентификатор сеанса с правами администратора и настраивает связанные с ним аутентификационные cookie.

Случай с Captcha является продолжением сентябрьской истории с появлением бэкдора в плагине "Display Widgets". Captcha также был продан Мэйсону Сойза (Mason Soiza) и новый владелец, выждав три месяца, выпустил обновление 4.3.6, в котором среди накопившихся исправлений был интегрирован вредоносный код. Метод интеграции вредоносного кода в Captcha отличается от случая с дополнением "Display Widgets" иным методом заметания следов - в код Captcha была добавлена вставка для загрузки стороннего пакета обновлений в обход официального каталога WordPress.org, что является грубейшим нарушением правил.

Обновление запрашивалось с внешней страницы https://simplywordpress.net/captcha/captcha_pro_update.php, с который загружался ZIP-архив с бэкдором. В ZIP-архиве размещалась текущая актуальная версия Captcha, отличающаяся от варианта из каталога WordPress.org наличием файла plugin-update.php с бэкдором, через котоорый любой сторонний злоумышленник получал возможность доступа к сайту с правами администратора (ID 1). Обновление также отличалось заменой имени обновления с captcha_pro_update.php на captcha_free_update.php, при загрузке которого выдавался ZIP-архив без бэкдора.

Примечательно, что бэкдор был выявлен не после жалоб пользователей или анализа кода, а в результате случайного стечения обстоятельств - плагин был заблокирован из-за ненадлежащего использования торговой марки wordpress в имени нового разработчика плагина (Simplywordpress). Удаление привлекло внимание исследователей безопасности из компании Wordfence, которые решили провести аудит кода плагина и не ошиблись, сразу натолкнувшись на вредоносный код.

Представители Wordfence сообщили о находке администрации WordPress.org, которая инициировала доставку внештатного обновления Captcha 4.4.5, в котором откатила все изменения, предложенные новыми владельцами в выпусках с 4.3.6 по 4.4.4. Кроме того, была заблокирована возможность размещения обновлений без прохождения ручного рецензирования для Captcha и пяти других плагинов того же автора (Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange). Новая версия с бэкдором была опубликована 4 декабря, а его блокировка была произведена 19 декабря.

  1. Главная ссылка к новости (https://www.wordfence.com/blog...)
  2. OpenNews: Выявлена скупка плагинов к WordPress для распространения вредоносного кода
  3. OpenNews: В результате атак на уязвимые версии WordPress поражено почти 2 млн страниц
  4. OpenNews: В socat выявлен потенциальный бэкдор, позволяющий воссоздать ключи шифрования
  5. OpenNews: Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором
  6. OpenNews: Бэкдор в отладочном коде модифицированного ядра Linux для систем Allwinner
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/47772-wordpress
Ключевые слова: wordpress, backdoor
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (49) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:36, 20/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Да уж. Полон опасностей похапе-мирок.
     
     
  • 2.3, Crazy Alex (ok), 12:55, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +22 +/
    ну, тут от языка ничего не зависит
     
     
  • 3.27, py (?), 14:39, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • –10 +/
    В ПХП пишут побыстрее и подешевле. Достаточно сравнить исходники дополнений для любой популярной ЦМС от ПХП и с чем-то не столько популярным. Непопулярный язык изучить сложнее, тут меньше *овнокодеров.
     
     
  • 4.61, Аноним (-), 19:25, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Непопулярный язык изучить сложнее, тут меньше *овнокодеров

    Например, Delphi

     
  • 4.70, Crazy Alex (ok), 22:44, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А с этим никто и не спорил. Как оно связано с топиком? Я вижу только вариант неуловимого Джо - на непопулярном языке ни черта не пишут, и в результате подобное мошенниечтво просто смысла не имеет.
     
  • 3.32, botman (ok), 14:49, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зависит от всяких там Mason Soiza
     
  • 3.40, Отражение луны (ok), 16:11, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    В общем-то зависит. Средствами пэхэпэ не организовать секьюрную систему плагинов. К сожалению, это не заставляет людей отказаться от этой идеи, что и приводит к проблемам такого рода.
     
     
  • 4.41, Аноним (-), 16:28, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Средствами пэхэпэ не организовать секьюрную систему плагинов.

    PHP не тьюринг-полный язык?

     
     
  • 5.60, AS (??), 19:12, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    извиняюсь нажал минус. зря нажал - в конце предложения ? не заметил, старый стал..
     
  • 4.69, Crazy Alex (ok), 22:42, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как вы представляете себе организацию секьюрной системы, которая защищала бы от злонамеренного автора? ну разве что AI наваять, который будет проверять код... тут да, на PHP его, пожалуй, прблематично будет сделать.
     
     
  • 5.73, vitalif (ok), 23:26, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сэндбоксы какие-нибудь... но это в любом языке трудно сделать, всё равно всегда найдётся дырочка, что в PHP, что в JVM... что в V8... Единственный настоящий способ изоляции - в другом процессе, запущенном от другого юзера. Ну или в Lua интерпретаторе запускаемом внутри PHP... :) но это же пипец =)
     
     
  • 6.79, Аноним (-), 06:15, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Единственный настоящий способ изоляции - в другом процессе, запущенном от другого юзера.

    Сразу уж в докере. Стильно модно молодежно

    Другой пользователь, другой namespace, виртуалка - тоже подвержены уязвимостям и багам. И система с плагинами, которые запускаются в изоляции тоже небезглючна

     
     
  • 7.80, Michael Shigorin (ok), 07:22, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Единственный настоящий способ изоляции - в другом процессе, запущенном от другого юзера.
    > Сразу уж в докере. Стильно модно молодежно
    > Другой пользователь, другой namespace, виртуалка - тоже подвержены уязвимостям и багам.

    Вы просто не поверите (ц), но грамотно реализованный privsep бывает _гораздо_ безопасней дыркера.

     
     
  • 8.82, Аноним (-), 13:44, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Одно другому не мешает ... текст свёрнут, показать
     
  • 5.84, Аноним (-), 16:20, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Всё так.
    Тогда уж напишите разработчикам dd, чтобы при случайном # dd if=... of=/dev/sdb выводили подтверждение "У вас там сейчас папка home с 1 Тб файлами, вы точно имели в виду sdb, а не флешку с sdc?" ответы "да", "нет", "я дypaк, просто копипастю с чьего-то сайта".
     
     
  • 6.85, AntonAlekseevich (ok), 21:22, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Тогда уж напишите разработчикам dd, чтобы при случайном

    А лучше прислать патч для этого.
    > # dd if=... of=/dev/sdb

    Для любой команды способной сделать очень больно как системе так и пользователю.
    > выводили подтверждение "У вас там сейчас папка home с 1 Тб файлами, вы точно имели в виду sdb, а не флешку с sdc?"

    Лучше не просто предупреждение, а требование написать фразу "i know what i do and i know what it is exactly doing"

    Как минимум обезопасит чуть менее тупого пользователя, но сильно и вредно сыграет для специалиста.

     
     
  • 7.87, Гентушник (ok), 14:35, 23/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно весело будет использовать такой dd в скриптах.
     
     
  • 8.90, AntonAlekseevich (ok), 17:28, 24/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я же написал что вредно для специалиста ... текст свёрнут, показать
     
  • 3.51, Аноним (-), 18:25, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    PHP хотя бы исходники можно сразу прочитать.
     
  • 3.74, Michael Shigorin (ok), 00:06, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это скорее вопрос [суб]культуры, как мне кажется.
     
  • 2.64, Петр А (?), 19:44, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Полон опасностей похапе-мирок.

    Таков он, мир олбанских вирусов.
    «Плажлуйста, запустите процесс форматирования своего диска вручную. Спасибо.»

     

  • 1.2, ыы (?), 12:45, 20/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Очень мило...
     
  • 1.4, Имя (?), 13:10, 20/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Молодец, Мэйсон Сойза! Не ноет, а всеми силами борется с засильем ненавистного PHP. Не сдавайся, Мейсон, мы с тобой!
     
     
  • 2.6, ыы (?), 13:18, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Жестокенький похапе-мирок не прощает безалаберности:
    "из-за ненадлежащего использования торговой марки wordpress в имени нового разработчика плагина"
     
  • 2.24, Аноним (-), 14:26, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А чем, исполняемым на стороне сервера, предлагется заменять ненавистный PHP?

    P.S. Я за Python

     
     
  • 3.36, Аноним (-), 15:49, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Бро, ты меня пронзил в самый мозг своим вопросом.
    Любой язык, программа/скрипт на котором способны выдать текст (веб-страницу, жабаскрипт, стайлшит) или двоичные данные (картинку), пригоден для генерации веб-контента на стороне сервера.
    p.s. А я за Crystal&Kemal :b
     
     
  • 4.53, Аноним (-), 18:26, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И чем любой язык будет лучше php
     
  • 4.63, xxyyzz (?), 19:30, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    притащишь на своей маргинальщине wordpress, тогда посмотрим, как в плагин бэкдор вставить
     
     
  • 5.75, Аноним (-), 00:40, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ага, щаззз. Если ты не умеешь пользоваться ничем, кроме wp, то это твои проблемы, и никто тебе альтернативную реализацию этого продукта предоставлять не обязан.
     
  • 3.52, 123 (??), 18:25, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Подразумевается что на пыхоне обычные мааки сделают меньше кривого кода? Сомневаюсь, практика говорит об обратном.
     

  • 1.20, Servo (?), 14:11, 20/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > насчитывает более 300 тысяч активных установок

    Просто жесть какая-то

     
  • 1.21, Аноним (-), 14:13, 20/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не бэкдор, а фича. Просто разрабочики этого дерьма сами не смогли разгадать её.
     
     
  • 2.42, пох (?), 16:40, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    разработчики может и не пытались. А вот некто с характерным именем Масон - ниасилил, зато у него было много денег, и он их просто купил ;-)

     

  • 1.34, bomj228 (?), 15:28, 20/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Не понимаю зачем юзать какие-то там плагины, пхп да ещё и вордпресс.
    Только чистый HTML + немного JS
     
     
  • 2.38, vz (?), 16:04, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Не понимаю зачем юзать какие-то там плагины, пхп да ещё и вордпресс.
    > Только чистый HTML + немного JS

    Большинству просто лень.

     
  • 2.58, mumu (ok), 18:51, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    будто в npm модулях меньше п-ца
     
     
  • 3.66, Аноним (-), 20:12, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ходь кто то , вспомнил про npm leftpad это радует потому , что про такое незабудеш
     
  • 2.71, Crazy Alex (ok), 22:45, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Действительно - юзеры, удобное редактирование, шаблоны, генерация под устройство и прочее... зачем оно всё.
     

  • 1.57, Аноним (-), 18:42, 20/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    На аяксе надо было пилить
     
     
  • 2.88, Гентушник (ok), 14:39, 23/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    На флеше!
     

  • 1.62, Kuromi (ok), 19:29, 20/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, использование U2F токенов спасло бы владельцев бложиков, благо вордпресс их поддерживает? Полагаю необходимость двухфактороной авторизации обойти бы не удалось?
     
     
  • 2.68, php (?), 21:57, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    в смысле, каждому Кулеме-коментатору выдать и привязать персональный токен?

    блестящее решение проблемы с капчей, действительно.

     
     
  • 3.72, Crazy Alex (ok), 22:46, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Причём привязать на шею. И чтобы токен весом килограммов двадцать, не меньше. И в прорубь - одним придурком меньше станет.
     
  • 3.76, Kuromi (ok), 02:09, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да не, только админу, чтобы в админку ходить.
     
     
  • 4.83, PnDx (ok), 14:21, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    (глубокомысленно) В этом процессе важнее средства контрацепции.
     

  • 1.77, Аноним (-), 02:15, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда начнут скупать гитхаб-репозитории с популярными либами?
     
  • 1.78, Аноним (-), 02:24, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    NodeJS и тот секюрней

    - https://github.com/cure53/H5SC
    - https://github.com/cure53/DOMPurify

     
  • 1.86, Аноним (-), 19:56, 22/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Здравствуйте
    Что делать если на сайте стоит этот плагин, его надо удалить что ли?
     
     
  • 2.89, Гентушник (ok), 14:49, 23/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Обновить до 4.4.5 или удалить.
    Если была установлена версия с бекдором то проверить что сайт не поимели (например сравнив код и БД с бекапом) и возможно инициировать смену паролей, если через эту дыру можно было увидеть пароли или их хеши.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру