The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

20.12.2017 11:39  В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор

В плагине Captcha к системе управления контентом WordPress, который насчитывает более 300 тысяч активных установок, выявлен бэкдор, предоставляющий доступ с правами администратора. После установки обновления в систему устанавливается файл с бэкдором plugin-update.php, который создаёт идентификатор сеанса с правами администратора и настраивает связанные с ним аутентификационные cookie.

Случай с Captcha является продолжением сентябрьской истории с появлением бэкдора в плагине "Display Widgets". Captcha также был продан Мэйсону Сойза (Mason Soiza) и новый владелец, выждав три месяца, выпустил обновление 4.3.6, в котором среди накопившихся исправлений был интегрирован вредоносный код. Метод интеграции вредоносного кода в Captcha отличается от случая с дополнением "Display Widgets" иным методом заметания следов - в код Captcha была добавлена вставка для загрузки стороннего пакета обновлений в обход официального каталога WordPress.org, что является грубейшим нарушением правил.

Обновление запрашивалось с внешней страницы https://simplywordpress.net/captcha/captcha_pro_update.php, с который загружался ZIP-архив с бэкдором. В ZIP-архиве размещалась текущая актуальная версия Captcha, отличающаяся от варианта из каталога WordPress.org наличием файла plugin-update.php с бэкдором, через котоорый любой сторонний злоумышленник получал возможность доступа к сайту с правами администратора (ID 1). Обновление также отличалось заменой имени обновления с captcha_pro_update.php на captcha_free_update.php, при загрузке которого выдавался ZIP-архив без бэкдора.

Примечательно, что бэкдор был выявлен не после жалоб пользователей или анализа кода, а в результате случайного стечения обстоятельств - плагин был заблокирован из-за ненадлежащего использования торговой марки wordpress в имени нового разработчика плагина (Simplywordpress). Удаление привлекло внимание исследователей безопасности из компании Wordfence, которые решили провести аудит кода плагина и не ошиблись, сразу натолкнувшись на вредоносный код.

Представители Wordfence сообщили о находке администрации WordPress.org, которая инициировала доставку внештатного обновления Captcha 4.4.5, в котором откатила все изменения, предложенные новыми владельцами в выпусках с 4.3.6 по 4.4.4. Кроме того, была заблокирована возможность размещения обновлений без прохождения ручного рецензирования для Captcha и пяти других плагинов того же автора (Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange). Новая версия с бэкдором была опубликована 4 декабря, а его блокировка была произведена 19 декабря.

  1. Главная ссылка к новости (https://www.wordfence.com/blog...)
  2. OpenNews: Выявлена скупка плагинов к WordPress для распространения вредоносного кода
  3. OpenNews: В результате атак на уязвимые версии WordPress поражено почти 2 млн страниц
  4. OpenNews: В socat выявлен потенциальный бэкдор, позволяющий воссоздать ключи шифрования
  5. OpenNews: Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором
  6. OpenNews: Бэкдор в отладочном коде модифицированного ядра Linux для систем Allwinner
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress, backdoor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 12:36, 20/12/2017 [ответить] [смотреть все]
  • +1 +/
    Да уж. Полон опасностей похапе-мирок.
     
     
  • 2.3, Crazy Alex, 12:55, 20/12/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +22 +/
    ну, тут от языка ничего не зависит
     
     
  • 3.27, py, 14:39, 20/12/2017 [^] [ответить] [смотреть все]
  • –10 +/
    В ПХП пишут побыстрее и подешевле Достаточно сравнить исходники дополнений для ... весь текст скрыт [показать]
     
     
  • 4.61, Аноним, 19:25, 20/12/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    > Непопулярный язык изучить сложнее, тут меньше *овнокодеров

    Например, Delphi

     
  • 4.70, Crazy Alex, 22:44, 20/12/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    А с этим никто и не спорил Как оно связано с топиком Я вижу только вариант неу... весь текст скрыт [показать]
     
  • 3.32, botman, 14:49, 20/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Зависит от всяких там Mason Soiza
     
  • 3.40, Отражение луны, 16:11, 20/12/2017 [^] [ответить] [смотреть все]  
  • –5 +/
    В общем-то зависит Средствами пэхэпэ не организовать секьюрную систему плагинов... весь текст скрыт [показать]
     
     
  • 4.41, Аноним, 16:28, 20/12/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    > Средствами пэхэпэ не организовать секьюрную систему плагинов.

    PHP не тьюринг-полный язык?

     
     
  • 5.60, AS, 19:12, 20/12/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    извиняюсь нажал минус зря нажал - в конце предложения не заметил, старый стал... весь текст скрыт [показать]
     
  • 4.69, Crazy Alex, 22:42, 20/12/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Как вы представляете себе организацию секьюрной системы, которая защищала бы от ... весь текст скрыт [показать]
     
     
  • 5.73, vitalif, 23:26, 20/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Сэндбоксы какие-нибудь но это в любом языке трудно сделать, всё равно всегда ... весь текст скрыт [показать]
     
     
  • 6.79, Аноним, 06:15, 21/12/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Сразу уж в докере Стильно модно молодежно Другой пользователь, другой namespace... весь текст скрыт [показать]
     
     
  • 7.80, Michael Shigorin, 07:22, 21/12/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Вы просто не поверите ц , но грамотно реализованный privsep бывает _гораздо_ бе... весь текст скрыт [показать]
     
     
  • 8.82, Аноним, 13:44, 21/12/2017 [^] [ответить] [смотреть все]  
  • +/
    Одно другому не мешает.
     
  • 5.84, Аноним, 16:20, 21/12/2017 [^] [ответить] [смотреть все]  
  • +/
    Всё так Тогда уж напишите разработчикам dd, чтобы при случайном dd if of ... весь текст скрыт [показать]
     
     
  • 6.85, AntonAlekseevich, 21:22, 21/12/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    А лучше прислать патч для этого Для любой команды способной сделать очень больн... весь текст скрыт [показать]
     
     
  • 7.87, Гентушник, 14:35, 23/12/2017 [^] [ответить] [смотреть все]  
  • +/
    Особенно весело будет использовать такой dd в скриптах.
     
     
  • 8.90, AntonAlekseevich, 17:28, 24/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Особенно весело будет использовать такой dd в скриптах.

    Я же написал что вредно для специалиста.

     
  • 3.51, Аноним, 18:25, 20/12/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    PHP хотя бы исходники можно сразу прочитать.
     
  • 3.74, Michael Shigorin, 00:06, 21/12/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Это скорее вопрос [суб]культуры, как мне кажется.
     
  • 2.64, Петр А, 19:44, 20/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Таков он, мир олбанских вирусов 171 Плажлуйста, запустите процесс форматирова... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, ыы, 12:45, 20/12/2017 [ответить] [смотреть все]  
  • +1 +/
    Очень мило...
     
  • 1.4, Имя, 13:10, 20/12/2017 [ответить] [смотреть все]  
  • +9 +/
    Молодец, Мэйсон Сойза! Не ноет, а всеми силами борется с засильем ненавистного PHP. Не сдавайся, Мейсон, мы с тобой!
     
     
  • 2.6, ыы, 13:18, 20/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Жестокенький похапе-мирок не прощает безалаберности из-за ненадлежащего исполь... весь текст скрыт [показать] [показать ветку]
     
  • 2.24, Аноним, 14:26, 20/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    А чем, исполняемым на стороне сервера, предлагется заменять ненавистный PHP P S... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, Аноним, 15:49, 20/12/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Бро, ты меня пронзил в самый мозг своим вопросом Любой язык, программа скрипт н... весь текст скрыт [показать]
     
     
  • 4.53, Аноним, 18:26, 20/12/2017 [^] [ответить] [смотреть все]  
  • +/
    И чем любой язык будет лучше php
     
  • 4.63, xxyyzz, 19:30, 20/12/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    притащишь на своей маргинальщине wordpress, тогда посмотрим, как в плагин бэкдор... весь текст скрыт [показать]
     
     
  • 5.75, Аноним, 00:40, 21/12/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Ага, щаззз Если ты не умеешь пользоваться ничем, кроме wp, то это твои проблемы... весь текст скрыт [показать]
     
  • 3.52, 123, 18:25, 20/12/2017 [^] [ответить] [смотреть все]  
  • +/
    Подразумевается что на пыхоне обычные мааки сделают меньше кривого кода Сомнева... весь текст скрыт [показать]
     
  • 1.20, Servo, 14:11, 20/12/2017 [ответить] [смотреть все]  
  • +/
    > насчитывает более 300 тысяч активных установок

    Просто жесть какая-то

     
  • 1.21, Аноним, 14:13, 20/12/2017 [ответить] [смотреть все]  
  • +/
    Не бэкдор, а фича. Просто разрабочики этого дерьма сами не смогли разгадать её.
     
     
  • 2.42, пох, 16:40, 20/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    разработчики может и не пытались А вот некто с характерным именем Масон - ниаси... весь текст скрыт [показать] [показать ветку]
     
  • 1.34, bomj228, 15:28, 20/12/2017 [ответить] [смотреть все]  
  • –1 +/
    Не понимаю зачем юзать какие-то там плагины, пхп да ещё и вордпресс.
    Только чистый HTML + немного JS
     
     
  • 2.38, vz, 16:04, 20/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Большинству просто лень ... весь текст скрыт [показать] [показать ветку]
     
  • 2.58, mumu, 18:51, 20/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    будто в npm модулях меньше п-ца
     
     
  • 3.66, Аноним, 20:12, 20/12/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    ходь кто то , вспомнил про npm leftpad это радует потому , что про такое незабуд... весь текст скрыт [показать]
     
  • 2.71, Crazy Alex, 22:45, 20/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Действительно - юзеры, удобное редактирование, шаблоны, генерация под устройство... весь текст скрыт [показать] [показать ветку]
     
  • 1.57, Аноним, 18:42, 20/12/2017 [ответить] [смотреть все]  
  • –6 +/
    На аяксе надо было пилить
     
     
  • 2.88, Гентушник, 14:39, 23/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    На флеше!
     
  • 1.62, Kuromi, 19:29, 20/12/2017 [ответить] [смотреть все]  
  • +/
    Интересно, использование U2F токенов спасло бы владельцев бложиков, благо вордпресс их поддерживает? Полагаю необходимость двухфактороной авторизации обойти бы не удалось?
     
     
  • 2.68, php, 21:57, 20/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    в смысле, каждому Кулеме-коментатору выдать и привязать персональный токен бле... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.72, Crazy Alex, 22:46, 20/12/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Причём привязать на шею И чтобы токен весом килограммов двадцать, не меньше И ... весь текст скрыт [показать]
     
  • 3.76, Kuromi, 02:09, 21/12/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Да не, только админу, чтобы в админку ходить.
     
     
  • 4.83, PnDx, 14:21, 21/12/2017 [^] [ответить] [смотреть все]  
  • +/
    (глубокомысленно) В этом процессе важнее средства контрацепции.
     
  • 1.77, Аноним, 02:15, 21/12/2017 [ответить] [смотреть все]  
  • +/
    Когда начнут скупать гитхаб-репозитории с популярными либами?
     
  • 1.78, Аноним, 02:24, 21/12/2017 [ответить] [смотреть все]  
  • –1 +/
    NodeJS и тот секюрней - https github com cure53 H5SC - https github com cure... весь текст скрыт [показать]
     
  • 1.86, Аноним, 19:56, 22/12/2017 [ответить] [смотреть все]  
  • –1 +/
    Здравствуйте Что делать если на сайте стоит этот плагин, его надо удалить что ли... весь текст скрыт [показать]
     
     
  • 2.89, Гентушник, 14:49, 23/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Обновить до 4.4.5 или удалить.
    Если была установлена версия с бекдором то проверить что сайт не поимели (например сравнив код и БД с бекапом) и возможно инициировать смену паролей, если через эту дыру можно было увидеть пароли или их хеши.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor