The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.09.2017 10:59  Выявлена скупка плагинов к WordPress для распространения вредоносного кода

Плагин "Display Widgets", насчитывающий более 200 тысяч установок, окончательно удалён из каталога плагинов к WordPress после серии инцидентов, в результате которых была осуществлена подстановка вредоносного кода в новые выпуски. Указанный код представлял собой бэкдор, позволяющий владельцам плагина контролировать контент на использующих плагин сайтах и выполнять подстановку своих рекламных блоков. Всем пользователям Display Widgets рекомендуется прекратить использование ветки 2.6.x.

Проблемы начались после того, как автор плагина, заинтересованный в развитии коммерческого аналога, продал "Display Widgets" другому разработчику, который обещал продолжить сопровождение плагина. 21 июня, спустя месяц после завершения сделки, новым владельцем было выпущено обновление 2.6.0, в котором была представлена поддержка средств для определения местоположения по базе GeoIP.

На следующий день после релиза к администраторам каталога плагинов WordPress поступила жалоба о нарушении требований к размещаемым в каталоге дополнениям. В частности, было выявлено, что плагин загружает около 38 Мб данных, содержащих информацию о географической привязке IP-адресов от компании Maxmind. После удаления дополнения из каталога, через неделю новый владелец плагина выпустил обновление, в котором устранил проблему путём интеграции GeoIP БД в основную поставку в виде виде файла geolocation.php. Дополнение было восстановлено в каталоге.

После изучения нового кода вновь было найдено нарушение правил - плагин передавал сведения о посетителях на внешний сервер, нарушая конфиденциальность пользователей. 1 июля дополнение было блокировано второй раз, а 6 июля был выпущен релиз 2.6.2 с активной по умолчанию опцией для отключения отправки логов. Дополнение было восстановлено, но 23 июля стали поступать жалобы о появлении спама на сайтах с плагином "Display Widgets", подтверждённые ссылками на кэш Google.

Разбор проблем показал, что источником спама является файл geolocation.php, в котором оказался спрятан бэкдор, позволяющий владельцам плагина публиковать новый контент на сайтах пользователей, а также заменять или удалять содержимое страниц. При этом для зарегистрированных пользователей и администраторов вредоносный код отображал изначальное содержимое, а для остальных пользователей выводил изменённый контент. Вредоносный код использовался для подстановки сторонней рекламы, незаметно для постоянных пользователей и администраторов сайтов. 24 июля дополнение в третий раз было заблокировано.

2 сентября был сформирован релиз 2.6.3, а 7 сентября возобновились жалобы на появление спама на сайтах пользователей плагина. На жалобы пользователей разработчики отвечали советом почистить кэш браузера, установить новую версию "Display Widgets" и почистить содержимое таблицы wp_options. Разработчики также пытались ввести пользователей в заблуждение, указывая в качестве причины появления спама наличие уязвимости, проявляющейся только при включении режима GEO Location в сочетании с применением других дополнений.

В итоге в новой версии также был выявлен изменённый бэкдор и 8 сентября администрация WordPress в четвёртый раз заблокировала "Display Widgets" с предупреждением о наличии критических проблем с безопасностью, а для пользователей было сформировано обновление 2.7.0 в котором произведён откат на кодовую базу 2.0.5, последнюю версию до продажи.

Стефани Велс (Stephanie Wells), изначальный автор дополнения, прокомментировала, что дополнение было продано Мэйсону Сойза (Mason Soiza) за 15 тысяч долларов, который представлял компанию WP Devs, заявляющую о владении 34 плагинами c аудиторией более 10 млн пользователей. Примечательно, что ранее наблюдалась аналогичная ситуация со спамом в плагине "404 to 301", который тоже купил Сойза. Также была договорённость о покупке плагина Finance Calculator, но его автор отменил сделку, узнав об инциденте с "Display Widgets". Об остальных плагинах, купленных Сойза, пока ничего не известно. Из хостов, с которых загружался вредоносный код упоминаются stopspam.io, w-p.io, geoip2.io и maxmind.io.

  1. Главная ссылка к новости (https://www.wordfence.com/blog...)
  2. OpenNews: Создатель вредоносного ПО блокировал отчёт о проблеме под предлогом нарушения авторских прав
  3. OpenNews: Фишинг-атака по захвату браузерных дополнений для встраивания в них вредоносного кода
  4. OpenNews: Chrome-дополнение Particle было выкуплено у автора и превращено во вредоносное ПО
  5. OpenNews: Зафиксирована скупка популярных браузерных дополнений для распространения вредоносного кода
  6. OpenNews: В рекламных сетях выявлено вредоносное ПО, скрытое в графических баннерах
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress, plugin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:04, 19/09/2017 [ответить] [смотреть все]
  • –9 +/
    То есть это не исключительно гуглохромовское явление Вот это наверное неслабый ... весь текст скрыт [показать]
     
     
  • 2.3, llolik, 11:19, 19/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    > То есть это не исключительно гуглохромовское явление?

    Какое? Продажа разработки единственным разработчиком совершенно левому чуваку, который ничего не обещал?

     
     
  • 3.45, Аноним, 23:31, 19/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Наоборот же: "разработчику, который обещал...".
    Девушка поверила.
     
     
  • 4.47, llolik, 08:20, 20/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну, как там в блоге у девушки написано, обещал взять на себя разработку и улучши... весь текст скрыт [показать]
     
  • 4.48, Аноним, 11:15, 20/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Кто в экономике или политике верит на слово, тот круглый дурак Ленин В И ... весь текст скрыт [показать]
     
  • 2.12, Аноним, 11:56, 19/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Теперь любой скрипткидди знает как хакнуть кучу народа С таким подходом - любая... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Аноним, 12:42, 19/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Уязвима любая система, _использующая каталоги дополнений приложений_ ... весь текст скрыт [показать]
     
  • 3.26, Аноним, 14:57, 19/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Репы что ли проверяют Там даже денег не надо платить Такимим темпами любой сто... весь текст скрыт [показать]
     
     
  • 4.29, Аноним, 15:49, 19/09/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    В нормальных дистрибутивах 8212 да Во-первый, майнтейнер и разработчик как п... весь текст скрыт [показать]
     
     
  • 5.38, Аноним, 20:29, 19/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Ахаха, открою тебе секрет, мой друг Аноним Мэйнтейнить пакеты в некоммерческих... весь текст скрыт [показать]
     
     
  • 6.57, Аноним, 20:28, 21/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Ты это мне, майнтейнеру, рассказываешь?
     
  • 3.39, pavlinux, 20:30, 19/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Этому баяну уже 5000 лет, когда плохие покупали известного, чтоб он говорил нужн... весь текст скрыт [показать]
     
  • 3.41, Sabakwaka, 20:56, 19/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну, да Берешь USD 150000, покупаешь 10 плагинов по 15000, а там оно само нап... весь текст скрыт [показать]
     
  • 1.2, A.Stahl, 11:09, 19/09/2017 [ответить] [смотреть все]  
  • +/
    >который также купил Сойза

    Ну так посадите его. Неужели для его действий не найдётся статьи?

     
     
  • 2.4, ЫЫ, 11:29, 19/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    А вы ведь когда читали текст такого рода, хлопали в ладоши и умилялись опенсорсу... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, A.Stahl, 11:36, 19/09/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    А никто и не требует никаких гарантий применимости На лицо обычное мошенничеств... весь текст скрыт [показать]
     
  • 3.11, ананим.orig, 11:54, 19/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    И к зачем ты этот обязательный фрагмент любой ЕУЛА написал И так понятно что тр... весь текст скрыт [показать]
     
  • 3.32, fi, 16:46, 19/09/2017 [^] [ответить] [смотреть все]  
  • +/
    А с чего ты взял что это опенсорс??? там какая лицензия была?? ты видел??
     
  • 2.14, ананим.orig, 12:00, 19/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Найдется Мошенничество например Но в основе 8212 разделение труда Программ... весь текст скрыт [показать] [показать ветку]
     
  • 2.27, Аноним, 14:58, 19/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Странно, что сразу не заблокировали Видимо, случает когда кто-то закачивал бекд... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Аноним, 11:46, 19/09/2017 [ответить] [смотреть все]  
  • +/
    А зачем удалять Вычистить вредоносный код, заблокировать возможность обновления... весь текст скрыт [показать]
     
  • 1.9, Какаянахренразница, 11:46, 19/09/2017 [ответить] [смотреть все]  
  • +/
    Ух ты! А мои плагины с парой десятков пользователей никто не хочет купить за 15 тысяч баксиков? Ну хоть за 14,999, а?...
     
     
  • 2.15, A.Stahl, 12:25, 19/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не совсем понимаю как ты хочешь получить третью девятку после запятой Банки так... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, 123, 12:52, 19/09/2017 [^] [ответить] [смотреть все]  
  • +/
    В фин операциях  до 4-го знака округление обычно.
     
  • 3.19, Аноним, 12:55, 19/09/2017 [^] [ответить] [смотреть все]  
  • +/
    В банковской сфере легко Вообще многие варианты полей типа Currency в БД имют ... весь текст скрыт [показать]
     
  • 3.28, Ordu, 15:38, 19/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Это очевидно не запятая, которая разделяет дробную и целую части, а запятая, раз... весь текст скрыт [показать]
     
     
  • 4.30, A.Stahl, 16:01, 19/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Группы разрядов разделяются апострофом, а не запятой.
     
     
  • 5.31, ACCA, 16:34, 19/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    LC_NUMERIC с тобой не согласен.
     
  • 5.34, Нанобот, 18:31, 19/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    От региона зависит
     
     
  • 6.49, Аноним, 11:18, 20/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    А мы что, по-китайски тут пищем, а сайт находится на cn По-русски надо писать,... весь текст скрыт [показать]
     
     
  • 7.54, Anonymoustus, 16:22, 20/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Люто, бешено плюсую.
     
  • 7.58, Какаянахренразница, 07:08, 22/09/2017 [^] [ответить] [смотреть все]  
  • +/
    12384 12387 12390 12373 12540 12289 20013 22269 35486 12391 ... весь текст скрыт [показать]
     
  • 5.37, Ordu, 19:52, 19/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Апострофом всякие футы да дюймы обозначают, не ... весь текст скрыт [показать]
     
  • 1.10, Аноним, 11:49, 19/09/2017 [ответить] [смотреть все]  
  • +2 +/
    Дайте Мэйсону ещё один шанс, код не его, он лишь разместил плагин
     
     
  • 2.13, Аноним, 11:56, 19/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И мопед не его, ага ^_^
     
     
  • 3.33, Аноним, 17:31, 19/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Ты откуда такой, красавчег?
     
  • 1.16, Аноним, 12:27, 19/09/2017 [ответить] [смотреть все]  
  • –1 +/
    Спам на сайте Это как ... весь текст скрыт [показать]
     
     
  • 2.55, Аноним, 17:23, 20/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Будем откровенны 95 населения 8212 идиоты Если вам нужны доказательства, п... весь текст скрыт [показать] [показать ветку]
     
  • 1.21, Аноним, 13:06, 19/09/2017 [ответить] [смотреть все]  
  • +2 +/
    Но дырявый насквозь wordpress который к тому же стучит о себе на сайт авторов же... весь текст скрыт [показать]
     
     
  • 2.35, AntonAlekseevich, 18:52, 19/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Что после этих инцидентов предлагаешь переходить на другой движок К примеру Gr... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, Аноним, 19:21, 19/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    > Flat-file CMS

    Зокопать.

     
     
  • 4.42, AntonAlekseevich, 21:30, 19/09/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    Флэтфайл CMS будет в разы лучше, вместо того чем кормят студентов уровня Профессий СПО.

    Доступ к БД не нужен, странички работают на Markdown, Twig и HTML(Можно и PHP туда приписать, если постараться.) особых проблем с сайтом на этой CMS не наблюдается.

     
     
  • 5.44, Аноним, 22:53, 19/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    это что за зверь Recommended Tools - Text Editors - Markdown Editors - FTP Clie... весь текст скрыт [показать]
     
     
  • 6.51, AntonAlekseevich, 15:14, 20/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Кириллизованное название типа Английское Flat-File Как приятно это читать, ... весь текст скрыт [показать]
     
  • 3.43, Аноним, 22:49, 19/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    ну-ну https getgrav org downloads plugins ... весь текст скрыт [показать]
     
     
  • 4.53, AntonAlekseevich, 15:22, 20/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    А что Пусть пока плагинов не так много, но всё же лучше чем ничего ... весь текст скрыт [показать]
     
  • 3.50, Аноним, 11:46, 20/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ни в коем случае Если у вас извилины зашевелились только от этих инцидентов , ... весь текст скрыт [показать]
     
     
  • 4.52, AntonAlekseevich, 15:20, 20/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    > Ни в коем случае.

    Не спорю.
    > Если у вас извилины зашевелились только от "этих инцидентов", а то что это для wordpress норма вы не видите, вам что-то предлагать и советовать бесполезно.

    Если для WP это норма то ладно, окей, "забить и вышвырнуть".
    > Кушайте дальше wordpress, не обляпайтесь.

    На любое предложение может быть отказ и это итак понятно.

     
  • 1.40, Аноним, 20:48, 19/09/2017 [ответить] [смотреть все]  
  • +2 +/
    Да чтоб таких программистов и хакеров мучала всю жизнь страшная бессонница ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor