The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

20.12.2017 11:39  В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор

В плагине Captcha к системе управления контентом WordPress, который насчитывает более 300 тысяч активных установок, выявлен бэкдор, предоставляющий доступ с правами администратора. После установки обновления в систему устанавливается файл с бэкдором plugin-update.php, который создаёт идентификатор сеанса с правами администратора и настраивает связанные с ним аутентификационные cookie.

Случай с Captcha является продолжением сентябрьской истории с появлением бэкдора в плагине "Display Widgets". Captcha также был продан Мэйсону Сойза (Mason Soiza) и новый владелец, выждав три месяца, выпустил обновление 4.3.6, в котором среди накопившихся исправлений был интегрирован вредоносный код. Метод интеграции вредоносного кода в Captcha отличается от случая с дополнением "Display Widgets" иным методом заметания следов - в код Captcha была добавлена вставка для загрузки стороннего пакета обновлений в обход официального каталога WordPress.org, что является грубейшим нарушением правил.

Обновление запрашивалось с внешней страницы https://simplywordpress.net/captcha/captcha_pro_update.php, с который загружался ZIP-архив с бэкдором. В ZIP-архиве размещалась текущая актуальная версия Captcha, отличающаяся от варианта из каталога WordPress.org наличием файла plugin-update.php с бэкдором, через котоорый любой сторонний злоумышленник получал возможность доступа к сайту с правами администратора (ID 1). Обновление также отличалось заменой имени обновления с captcha_pro_update.php на captcha_free_update.php, при загрузке которого выдавался ZIP-архив без бэкдора.

Примечательно, что бэкдор был выявлен не после жалоб пользователей или анализа кода, а в результате случайного стечения обстоятельств - плагин был заблокирован из-за ненадлежащего использования торговой марки wordpress в имени нового разработчика плагина (Simplywordpress). Удаление привлекло внимание исследователей безопасности из компании Wordfence, которые решили провести аудит кода плагина и не ошиблись, сразу натолкнувшись на вредоносный код.

Представители Wordfence сообщили о находке администрации WordPress.org, которая инициировала доставку внештатного обновления Captcha 4.4.5, в котором откатила все изменения, предложенные новыми владельцами в выпусках с 4.3.6 по 4.4.4. Кроме того, была заблокирована возможность размещения обновлений без прохождения ручного рецензирования для Captcha и пяти других плагинов того же автора (Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange). Новая версия с бэкдором была опубликована 4 декабря, а его блокировка была произведена 19 декабря.

  1. Главная ссылка к новости (https://www.wordfence.com/blog...)
  2. OpenNews: Выявлена скупка плагинов к WordPress для распространения вредоносного кода
  3. OpenNews: В результате атак на уязвимые версии WordPress поражено почти 2 млн страниц
  4. OpenNews: В socat выявлен потенциальный бэкдор, позволяющий воссоздать ключи шифрования
  5. OpenNews: Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором
  6. OpenNews: Бэкдор в отладочном коде модифицированного ядра Linux для систем Allwinner
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress, backdoor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 12:36, 20/12/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    Да уж. Полон опасностей похапе-мирок.
     
     
  • 2.3, Crazy Alex (ok), 12:55, 20/12/2017 [^] [ответить]    [к модератору]
  • +22 +/
    ну, тут от языка ничего не зависит
     
     
  • 3.27, py (?), 14:39, 20/12/2017 [^] [ответить]     [к модератору]
  • –10 +/
    В ПХП пишут побыстрее и подешевле Достаточно сравнить исходники дополнений для ... весь текст скрыт [показать]
     
     
  • 4.61, Аноним (-), 19:25, 20/12/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    > Непопулярный язык изучить сложнее, тут меньше *овнокодеров

    Например, Delphi

     
  • 4.70, Crazy Alex (ok), 22:44, 20/12/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    А с этим никто и не спорил. Как оно связано с топиком? Я вижу только вариант неуловимого Джо - на непопулярном языке ни черта не пишут, и в результате подобное мошенниечтво просто смысла не имеет.
     
  • 3.32, botman (ok), 14:49, 20/12/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Зависит от всяких там Mason Soiza
     
  • 3.40, Отражение луны (ok), 16:11, 20/12/2017 [^] [ответить]    [к модератору]  
  • –5 +/
    В общем-то зависит. Средствами пэхэпэ не организовать секьюрную систему плагинов. К сожалению, это не заставляет людей отказаться от этой идеи, что и приводит к проблемам такого рода.
     
     
  • 4.41, Аноним (-), 16:28, 20/12/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    > Средствами пэхэпэ не организовать секьюрную систему плагинов.

    PHP не тьюринг-полный язык?

     
     
  • 5.60, AS (??), 19:12, 20/12/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    извиняюсь нажал минус. зря нажал - в конце предложения ? не заметил, старый стал..
     
  • 4.69, Crazy Alex (ok), 22:42, 20/12/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Как вы представляете себе организацию секьюрной системы, которая защищала бы от ... весь текст скрыт [показать]
     
     
  • 5.73, vitalif (ok), 23:26, 20/12/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Сэндбоксы какие-нибудь но это в любом языке трудно сделать, всё равно всегда ... весь текст скрыт [показать]
     
     
  • 6.79, Аноним (-), 06:15, 21/12/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Сразу уж в докере Стильно модно молодежно Другой пользователь, другой namespace... весь текст скрыт [показать]
     
     
  • 7.80, Michael Shigorin (ok), 07:22, 21/12/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    Вы просто не поверите ц , но грамотно реализованный privsep бывает _гораздо_ бе... весь текст скрыт [показать]
     
     
  • 8.82, Аноним (-), 13:44, 21/12/2017 [^] [ответить]    [к модератору]  
  • +/
    Одно другому не мешает.
     
  • 5.84, Аноним (-), 16:20, 21/12/2017 [^] [ответить]     [к модератору]  
  • +/
    Всё так Тогда уж напишите разработчикам dd, чтобы при случайном dd if of ... весь текст скрыт [показать]
     
     
  • 6.85, AntonAlekseevich (ok), 21:22, 21/12/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    А лучше прислать патч для этого Для любой команды способной сделать очень больн... весь текст скрыт [показать]
     
     
  • 7.87, Гентушник (ok), 14:35, 23/12/2017 [^] [ответить]    [к модератору]  
  • +/
    Особенно весело будет использовать такой dd в скриптах.
     
     
  • 8.90, AntonAlekseevich (ok), 17:28, 24/12/2017 [^] [ответить]    [к модератору]  
  • +/
    > Особенно весело будет использовать такой dd в скриптах.

    Я же написал что вредно для специалиста.

     
  • 3.51, Аноним (-), 18:25, 20/12/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    PHP хотя бы исходники можно сразу прочитать.
     
  • 3.74, Michael Shigorin (ok), 00:06, 21/12/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Это скорее вопрос [суб]культуры, как мне кажется.
     
  • 2.64, Петр А (?), 19:44, 20/12/2017 [^] [ответить]    [к модератору]  
  • +/
    >> Полон опасностей похапе-мирок.

    Таков он, мир олбанских вирусов.
    «Плажлуйста, запустите процесс форматирования своего диска вручную. Спасибо.»

     
     ....нить скрыта, показать (20)

  • 1.2, ыы (?), 12:45, 20/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Очень мило...
     
  • 1.4, Имя (?), 13:10, 20/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +9 +/
    Молодец, Мэйсон Сойза! Не ноет, а всеми силами борется с засильем ненавистного PHP. Не сдавайся, Мейсон, мы с тобой!
     
     
  • 2.6, ыы (?), 13:18, 20/12/2017 [^] [ответить]    [к модератору]  
  • +/
    Жестокенький похапе-мирок не прощает безалаберности:
    "из-за ненадлежащего использования торговой марки wordpress в имени нового разработчика плагина"
     
  • 2.24, Аноним (-), 14:26, 20/12/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    А чем, исполняемым на стороне сервера, предлагется заменять ненавистный PHP?

    P.S. Я за Python

     
     
  • 3.36, Аноним (-), 15:49, 20/12/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Бро, ты меня пронзил в самый мозг своим вопросом Любой язык, программа скрипт н... весь текст скрыт [показать]
     
     
  • 4.53, Аноним (-), 18:26, 20/12/2017 [^] [ответить]    [к модератору]  
  • +/
    И чем любой язык будет лучше php
     
  • 4.63, xxyyzz (?), 19:30, 20/12/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    притащишь на своей маргинальщине wordpress, тогда посмотрим, как в плагин бэкдор вставить
     
     
  • 5.75, Аноним (-), 00:40, 21/12/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Ага, щаззз. Если ты не умеешь пользоваться ничем, кроме wp, то это твои проблемы, и никто тебе альтернативную реализацию этого продукта предоставлять не обязан.
     
  • 3.52, 123 (??), 18:25, 20/12/2017 [^] [ответить]    [к модератору]  
  • +/
    Подразумевается что на пыхоне обычные мааки сделают меньше кривого кода? Сомневаюсь, практика говорит об обратном.
     
  • 1.20, Servo (?), 14:11, 20/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > насчитывает более 300 тысяч активных установок

    Просто жесть какая-то

     
  • 1.21, Аноним (-), 14:13, 20/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не бэкдор, а фича. Просто разрабочики этого дерьма сами не смогли разгадать её.
     
     
  • 2.42, пох (?), 16:40, 20/12/2017 [^] [ответить]    [к модератору]  
  • +/
    разработчики может и не пытались. А вот некто с характерным именем Масон - ниасилил, зато у него было много денег, и он их просто купил ;-)

     
  • 1.34, bomj228 (?), 15:28, 20/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Не понимаю зачем юзать какие-то там плагины, пхп да ещё и вордпресс.
    Только чистый HTML + немного JS
     
     
  • 2.38, vz (?), 16:04, 20/12/2017 [^] [ответить]    [к модератору]  
  • +/
    > Не понимаю зачем юзать какие-то там плагины, пхп да ещё и вордпресс.
    > Только чистый HTML + немного JS

    Большинству просто лень.

     
  • 2.58, mumu (ok), 18:51, 20/12/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    будто в npm модулях меньше п-ца
     
     
  • 3.66, Аноним (-), 20:12, 20/12/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    ходь кто то , вспомнил про npm leftpad это радует потому , что про такое незабудеш
     
  • 2.71, Crazy Alex (ok), 22:45, 20/12/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Действительно - юзеры, удобное редактирование, шаблоны, генерация под устройство и прочее... зачем оно всё.
     
  • 1.57, Аноним (-), 18:42, 20/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –6 +/
    На аяксе надо было пилить
     
     
  • 2.88, Гентушник (ok), 14:39, 23/12/2017 [^] [ответить]    [к модератору]  
  • +/
    На флеше!
     
  • 1.62, Kuromi (ok), 19:29, 20/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересно, использование U2F токенов спасло бы владельцев бложиков, благо вордпресс их поддерживает? Полагаю необходимость двухфактороной авторизации обойти бы не удалось?
     
     
  • 2.68, php (?), 21:57, 20/12/2017 [^] [ответить]    [к модератору]  
  • +/
    в смысле, каждому Кулеме-коментатору выдать и привязать персональный токен?

    блестящее решение проблемы с капчей, действительно.

     
     
  • 3.72, Crazy Alex (ok), 22:46, 20/12/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Причём привязать на шею. И чтобы токен весом килограммов двадцать, не меньше. И в прорубь - одним придурком меньше станет.
     
  • 3.76, Kuromi (ok), 02:09, 21/12/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Да не, только админу, чтобы в админку ходить.
     
     
  • 4.83, PnDx (ok), 14:21, 21/12/2017 [^] [ответить]    [к модератору]  
  • +/
    (глубокомысленно) В этом процессе важнее средства контрацепции.
     
  • 1.77, Аноним (-), 02:15, 21/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Когда начнут скупать гитхаб-репозитории с популярными либами?
     
  • 1.78, Аноним (-), 02:24, 21/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    NodeJS и тот секюрней

    - https://github.com/cure53/H5SC
    - https://github.com/cure53/DOMPurify

     
  • 1.86, Аноним (-), 19:56, 22/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Здравствуйте
    Что делать если на сайте стоит этот плагин, его надо удалить что ли?
     
     
  • 2.89, Гентушник (ok), 14:49, 23/12/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Обновить до 4 4 5 или удалить Если была установлена версия с бекдором то провер... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor