Плагин "Display Widgets", насчитывающий более 200 тысяч установок, окончательно удалён из каталога плагинов к WordPress после серии инцидентов (https://www.wordfence.com/blog/2017/09/display-widgets-malware/), в результате которых была осуществлена подстановка вредоносного кода в новые выпуски. Указанный код представлял собой бэкдор, позволяющий владельцам плагина контролировать контент на использующих плагин сайтах и выполнять подстановку своих рекламных блоков. Всем пользователям "Display Widgets" рекомендуется прекратить использование данного плагина.Проблемы начались после того, как автор плагина, заинтересованный в развитии других проектов, продал "Display Widgets" другому разработчику, который обещал продолжить сопровождение плагина. 21 июня, спустя месяц после завершения сделки, новым владельцем было выпущено обновление 2.6.0, в котором была представлена поддержка средств для определения местоположения по базе GeoIP.
На следующий день после релиза к администраторам каталога плагинов WordPress поступила жалоба о нарушении требований к размещаемым в каталоге дополнениям. В частности, было выявлено, что плагин загружает около 38 Мб данных, содержащих информацию о географической привязке IP-адресов от компании Maxmind. После удаления дополнения из каталога, спустя неделю новый владельц плагина выпустил обновление, в котором устранил проблему путём интеграции GeoIP БД в основную поставку в виде виде файла geolocation.php. Дополнение было восстановлено в каталоге.
Изучив код в нём вновь было найдено нарушение правил - плагин передавал сведения о посетителях на внешний сервер, нарушая конфеденциальность пользователей. 1 июля дополнение было блокировано второй раз, а 6 июля был выпущен релиз 2.6.2 с поддержкой включенной по умолчанию опцией для отключения отправки логов. 23 июля стали поступать жалобы о появлении спама на сайтах с плагином "Display Widgets", подтверждённые ссылками на кэш Google.
Разбор проблем показал, что источником спама является файл geolocation.php, в котором оказался (https://www.pluginvulnerabilities.com/2017/09/11/wordpress-p.../) спрятан бэкдор, позволяющий владельцам плагина публиковать новый контент на сайтах пользователей, а также заменять или удалять содержимое страниц. При этом для зарегистрированных пользователей и администраторов вредоносный код отображал изначальное содержимое, а для остальных пользователей выводил изменённый контент. Вредоносный код использовался для подстановки сторонней рекламы, незаметно для постоянных пользователей и администраторов сайтов. 24 июля дополнение в третий раз было заблокировано.
2 сентября был сформирован релиз 2.6.3, в котором также присутствовал изменённый бэкдор. 7 сентября возобновились жалобы на появление спама на сайтах пользователей плагина. На данные жалобы разработчики отвечали советом почистить кэш браузера, установить новую версию "Display Widgets" (также содержащей бэкдор) и почистить содержимое таблицы wp_options. Разработчики также пытались ввести пользователей в заблуждение, указывая в качестве причины появления спама наличие уязвимости, проявляющейся только при включении режима GEO Location в сочетании с применением других дополнений. 8 сентября администрация WordPress в четвёртый раз заблокировала "Display Widgets" с предупреждением о наличии критических проблем с безопасностью.
Стефани Велс (Stephanie Wells), изначальный автор дополнения, прокомментировала (https://www.wordfence.com/blog/2017/09/man-behind-plugin-spa.../), что дополнение было продано Мэйсону Сойза (Mason Soiza) за 15 тысяч долларов, который заявлял, что уже владеет 34 плагинами и его компания Soiza Limited сосредоточена на разработке плагинов. Примечательно, что ранее наблюдалась аналогичная ситуация со спамом в плагине 404 to 301, который также купил Сойза. Также была договорённость о покупке плагина Finance Calculator, но его автор отменил сделку, узнав об инциденте с "Display Widgets".
URL: https://www.wordfence.com/blog/2017/09/man-behind-plugin-spa.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=47229