The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от opennews (??) on 20-Дек-17, 12:36 
В плагине Captcha к системе управления контентом WordPress, который насчитывает более 300 тысяч активных установок, выявлен бэкдор, предоставляющий доступ с правами администратора. После установки обновления в систему устанавливается файл с бэкдором plugin-update.php, который создаёт идентификатор сеанса с правами администратора, настраивает связанные с ним аутентификационные cookie.

Случай с Captcha является продолжением сентябрьской истории с появлением бэкдора в плагине "Display Widgets". Captcha также был продан Мэйсону Сойза (Mason Soiza) и новый владелец, выждав три месяца, выпустил обновление 4.3.6, в котором среди накопившихся исправлений был интегрирован вредоносный код.

Метод интеграции вредоносного кода в Captcha отличается от случая с дополнением "Display Widgets" иным методом заметания следов - в код Captcha была добавлена вставка для загрузки стороннего пакета обновлений в обход официального каталога WordPress.org, что является грубейшим нарушением правил. Обновление запрашивалось с внешней страницы https://simplywordpress.net/captcha/captcha_pro_update.php, с который загружался ZIP-архив с бэкдором. В ZIP-архиве размещалась текущая актуальная версия Captcha, отличающаяся от варианта из каталога WordPress.org наличием файла plugin-update.php с бэкдором, через котоорый любой сторонний злоумышленник получал возможность доступа к сайту с правами администратора (ID 1). Обновление также отличалось заменой имени обновления с captcha_pro_update.php на captcha_free_update.php, при загрузке которого выдавался ZIP-архив без бэкдора.


Примечательно, что бэкдор был выявлен не после жалоб пользователей или анализа кода, а в результате случайного стечения обстоятельств - плагин был заблокирован (http://webcache.googleusercontent.com/search?q=cache:https:/...) из-за ненадлежащего использования торговой марки wordpress в имени нового разработчика плагина (Simplywordpress). Удаление привлекло внимание исследователей безопасности из компании Wordfence, которые решили провести аудит кода плагина и не ошиблись, сразу натолкнувшись на бэкдор.

Представители Wordfence сообщили о находке администрации WordPress.org, которая инициировала доставку внештатного обновления Captcha 4.4.5, в котором откатила все изменения, предложенные новыми владельцами в выпусках с 4.3.6 по 4.4.4. Кроме того, была заблокирована возможность размещения обновлений без прохождения ручного рецензирования для  Captcha и пяти других плагинов того же автора (Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange).


URL: https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/
Новость: https://www.opennet.ru/opennews/art.shtml?num=47772

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +1 +/
Сообщение от Аноним (??) on 20-Дек-17, 12:36 
Да уж. Полон опасностей похапе-мирок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +22 +/
Сообщение от Crazy Alex (ok) on 20-Дек-17, 12:55 
ну, тут от языка ничего не зависит
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

27. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –10 +/
Сообщение от py on 20-Дек-17, 14:39 
В ПХП пишут побыстрее и подешевле. Достаточно сравнить исходники дополнений для любой популярной ЦМС от ПХП и с чем-то не столько популярным. Непопулярный язык изучить сложнее, тут меньше *овнокодеров.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

61. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +5 +/
Сообщение от Аноним (??) on 20-Дек-17, 19:25 
> Непопулярный язык изучить сложнее, тут меньше *овнокодеров

Например, Delphi

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

70. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +3 +/
Сообщение от Crazy Alex (ok) on 20-Дек-17, 22:44 
А с этим никто и не спорил. Как оно связано с топиком? Я вижу только вариант неуловимого Джо - на непопулярном языке ни черта не пишут, и в результате подобное мошенниечтво просто смысла не имеет.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +1 +/
Сообщение от botman (ok) on 20-Дек-17, 14:49 
Зависит от всяких там Mason Soiza
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

40. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –5 +/
Сообщение от Отражение луны (ok) on 20-Дек-17, 16:11 
В общем-то зависит. Средствами пэхэпэ не организовать секьюрную систему плагинов. К сожалению, это не заставляет людей отказаться от этой идеи, что и приводит к проблемам такого рода.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

41. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +6 +/
Сообщение от Аноним (??) on 20-Дек-17, 16:28 
> Средствами пэхэпэ не организовать секьюрную систему плагинов.

PHP не тьюринг-полный язык?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

60. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –2 +/
Сообщение от AS (??) on 20-Дек-17, 19:12 
извиняюсь нажал минус. зря нажал - в конце предложения ? не заметил, старый стал..
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

69. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +2 +/
Сообщение от Crazy Alex (ok) on 20-Дек-17, 22:42 
Как вы представляете себе организацию секьюрной системы, которая защищала бы от злонамеренного автора? ну разве что AI наваять, который будет проверять код... тут да, на PHP его, пожалуй, прблематично будет сделать.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

73. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +1 +/
Сообщение от vitalif (ok) on 20-Дек-17, 23:26 
Сэндбоксы какие-нибудь... но это в любом языке трудно сделать, всё равно всегда найдётся дырочка, что в PHP, что в JVM... что в V8... Единственный настоящий способ изоляции - в другом процессе, запущенном от другого юзера. Ну или в Lua интерпретаторе запускаемом внутри PHP... :) но это же пипец =)
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

79. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –1 +/
Сообщение от Аноним (??) on 21-Дек-17, 06:15 
>Единственный настоящий способ изоляции - в другом процессе, запущенном от другого юзера.

Сразу уж в докере. Стильно модно молодежно

Другой пользователь, другой namespace, виртуалка - тоже подвержены уязвимостям и багам. И система с плагинами, которые запускаются в изоляции тоже небезглючна

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

80. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –2 +/
Сообщение от Michael Shigorin email(ok) on 21-Дек-17, 07:22 
>> Единственный настоящий способ изоляции - в другом процессе, запущенном от другого юзера.
> Сразу уж в докере. Стильно модно молодежно
> Другой пользователь, другой namespace, виртуалка - тоже подвержены уязвимостям и багам.

Вы просто не поверите (ц), но грамотно реализованный privsep бывает _гораздо_ безопасней дыркера.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

82. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от Аноним (??) on 21-Дек-17, 13:44 
Одно другому не мешает.
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

84. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от Аноним (??) on 21-Дек-17, 16:20 
Всё так.
Тогда уж напишите разработчикам dd, чтобы при случайном # dd if=... of=/dev/sdb выводили подтверждение "У вас там сейчас папка home с 1 Тб файлами, вы точно имели в виду sdb, а не флешку с sdc?" ответы "да", "нет", "я дypaк, просто копипастю с чьего-то сайта".
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

85. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –2 +/
Сообщение от AntonAlekseevich email(ok) on 21-Дек-17, 21:22 
> Тогда уж напишите разработчикам dd, чтобы при случайном

А лучше прислать патч для этого.
> # dd if=... of=/dev/sdb

Для любой команды способной сделать очень больно как системе так и пользователю.
> выводили подтверждение "У вас там сейчас папка home с 1 Тб файлами, вы точно имели в виду sdb, а не флешку с sdc?"

Лучше не просто предупреждение, а требование написать фразу "i know what i do and i know what it is exactly doing"

Как минимум обезопасит чуть менее тупого пользователя, но сильно и вредно сыграет для специалиста.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

87. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от Гентушник (ok) on 23-Дек-17, 14:35 
Особенно весело будет использовать такой dd в скриптах.
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

90. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от AntonAlekseevich email(ok) on 24-Дек-17, 17:28 
> Особенно весело будет использовать такой dd в скриптах.

Я же написал что вредно для специалиста.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

51. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –1 +/
Сообщение от Аноним (??) on 20-Дек-17, 18:25 
PHP хотя бы исходники можно сразу прочитать.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

74. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 21-Дек-17, 00:06 
Это скорее вопрос [суб]культуры, как мне кажется.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

64. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от Петр А on 20-Дек-17, 19:44 
>> Полон опасностей похапе-мирок.

Таков он, мир олбанских вирусов.
«Плажлуйста, запустите процесс форматирования своего диска вручную. Спасибо.»

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +1 +/
Сообщение от ыы on 20-Дек-17, 12:45 
Очень мило...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +9 +/
Сообщение от Имя on 20-Дек-17, 13:10 
Молодец, Мэйсон Сойза! Не ноет, а всеми силами борется с засильем ненавистного PHP. Не сдавайся, Мейсон, мы с тобой!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от ыы on 20-Дек-17, 13:18 
Жестокенький похапе-мирок не прощает безалаберности:
"из-за ненадлежащего использования торговой марки wordpress в имени нового разработчика плагина"
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

24. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –2 +/
Сообщение от Аноним (??) on 20-Дек-17, 14:26 
А чем, исполняемым на стороне сервера, предлагется заменять ненавистный PHP?

P.S. Я за Python

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

36. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +3 +/
Сообщение от Аноним (??) on 20-Дек-17, 15:49 
Бро, ты меня пронзил в самый мозг своим вопросом.
Любой язык, программа/скрипт на котором способны выдать текст (веб-страницу, жабаскрипт, стайлшит) или двоичные данные (картинку), пригоден для генерации веб-контента на стороне сервера.
p.s. А я за Crystal&Kemal :b
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

53. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от Аноним (??) on 20-Дек-17, 18:26 
И чем любой язык будет лучше php
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

63. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +2 +/
Сообщение от xxyyzz on 20-Дек-17, 19:30 
притащишь на своей маргинальщине wordpress, тогда посмотрим, как в плагин бэкдор вставить
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

75. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –2 +/
Сообщение от Аноним (??) on 21-Дек-17, 00:40 
Ага, щаззз. Если ты не умеешь пользоваться ничем, кроме wp, то это твои проблемы, и никто тебе альтернативную реализацию этого продукта предоставлять не обязан.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

52. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от 123 (??) on 20-Дек-17, 18:25 
Подразумевается что на пыхоне обычные мааки сделают меньше кривого кода? Сомневаюсь, практика говорит об обратном.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

20. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от Servo on 20-Дек-17, 14:11 
> насчитывает более 300 тысяч активных установок

Просто жесть какая-то

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от Аноним (??) on 20-Дек-17, 14:13 
Не бэкдор, а фича. Просто разрабочики этого дерьма сами не смогли разгадать её.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от пох on 20-Дек-17, 16:40 
разработчики может и не пытались. А вот некто с характерным именем Масон - ниасилил, зато у него было много денег, и он их просто купил ;-)

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

34. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –1 +/
Сообщение от bomj228 email on 20-Дек-17, 15:28 
Не понимаю зачем юзать какие-то там плагины, пхп да ещё и вордпресс.
Только чистый HTML + немного JS
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от vz on 20-Дек-17, 16:04 
> Не понимаю зачем юзать какие-то там плагины, пхп да ещё и вордпресс.
> Только чистый HTML + немного JS

Большинству просто лень.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

58. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +6 +/
Сообщение от mumu (ok) on 20-Дек-17, 18:51 
будто в npm модулях меньше п-ца
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

66. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +3 +/
Сообщение от Аноним (??) on 20-Дек-17, 20:12 
ходь кто то , вспомнил про npm leftpad это радует потому , что про такое незабудеш
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

71. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –1 +/
Сообщение от Crazy Alex (ok) on 20-Дек-17, 22:45 
Действительно - юзеры, удобное редактирование, шаблоны, генерация под устройство и прочее... зачем оно всё.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

57. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –6 +/
Сообщение от Аноним (??) on 20-Дек-17, 18:42 
На аяксе надо было пилить
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

88. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от Гентушник (ok) on 23-Дек-17, 14:39 
На флеше!
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

62. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от Kuromi (ok) on 20-Дек-17, 19:29 
Интересно, использование U2F токенов спасло бы владельцев бложиков, благо вордпресс их поддерживает? Полагаю необходимость двухфактороной авторизации обойти бы не удалось?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от php on 20-Дек-17, 21:57 
в смысле, каждому Кулеме-коментатору выдать и привязать персональный токен?

блестящее решение проблемы с капчей, действительно.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

72. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +4 +/
Сообщение от Crazy Alex (ok) on 20-Дек-17, 22:46 
Причём привязать на шею. И чтобы токен весом килограммов двадцать, не меньше. И в прорубь - одним придурком меньше станет.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

76. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –1 +/
Сообщение от Kuromi (ok) on 21-Дек-17, 02:09 
Да не, только админу, чтобы в админку ходить.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

83. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от PnDx (ok) on 21-Дек-17, 14:21 
(глубокомысленно) В этом процессе важнее средства контрацепции.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

77. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  +/
Сообщение от Аноним (??) on 21-Дек-17, 02:15 
Когда начнут скупать гитхаб-репозитории с популярными либами?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –1 +/
Сообщение от Аноним (??) on 21-Дек-17, 02:24 
NodeJS и тот секюрней

- https://github.com/cure53/H5SC
- https://github.com/cure53/DOMPurify

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

86. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –1 +/
Сообщение от Аноним (??) on 22-Дек-17, 19:56 
Здравствуйте
Что делать если на сайте стоит этот плагин, его надо удалить что ли?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

89. "В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."  –1 +/
Сообщение от Гентушник (ok) on 23-Дек-17, 14:49 
Обновить до 4.4.5 или удалить.
Если была установлена версия с бекдором то проверить что сайт не поимели (например сравнив код и БД с бекапом) и возможно инициировать смену паролей, если через эту дыру можно было увидеть пароли или их хеши.
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру