Captcha plugin s 300 000 instalacemi obsahuje backdoor

Populární plugin Captcha, s více než třista tisící aktivními instalacemi, byl na nějakou dobu odstraněn z repositáře WordPressu.

Dle vyjádření vývojáře, šlo o problém s použitím WordPress v názvu pluginu a byl odstraněn do té doby, než bude přebrandován.

WordFence tým sleduje pluginy, s velkou uživatelskou základnou, které jsou z nějakého důvodu odstraněny z repositáře a udělá jejich bezpečnostní audit.

Při kontrole pluginu, byl nalezen tento kód:

Tento kód při automatické aktualizaci stáhne kopii pluginu v zip souboru z webu simplywordpress.net a přeinstaluje aktivní verzi pluginu.

Nová verze obsahuje drobné změny v kódu a soubor plugin-update.php, který je backdoor:

Zavoláním tohoto souboru je umožněn neautorizovaný administrátorský přístup do administrace webu. Navíc je soubor zcela nechráněn a zavolat jej může kdokoliv. Což je splněný sen všech automatizovaných útoků.

Důležité je, že při nainstalování verze s backdoorem, se změní i url, z které byl stažen závadný zip a nahradí se verzí, jenž je totožná s pluginem na WordPress.org. Tím je smazána stopa po backdooru.

Kdo stojí za pluginem Captcha?

Podobně, jako dříve, odvedl tým WordFence přímo detektivní práci.

Psali jsme dříve: https://musilda.cz/skandal-ve-wp-repozitari-plugin-vice-nez-200k-instalacemi-obsahoval-zadni-vratka/

A opakuje se nám zde stejný postup. Původní developer přenechal vývoj pluginu novému vlastníkovi. Původní vývojář, společnost Bestwebsoft informovala o přenechání vývoje 5.9.2017 na svém webu: https://bestwebsoft.com/free-captcha-version-is-now-supported-by-other-developers/

Kdo je ale současný vývojář? To není zcela jasné, pokud vás zajímají podrobnosti, podívejte se na https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/, kde je více informací a opět se zmiňuje jistý Souza, známý z vvýše zmíněného článku.

Čtěte  Bezpečnostní aktualizace WordPressu 4.7.5

Plugin je opět v repositáři

Plugin se opět objevil v repositáři na WordPress.org, protože tým WordFence a tým pro pluginy z WordPress.org upravili plugin s backdoorem a vydali jeho novou verzi 4.4.5, jenž je již bezpečná. Zároveň bylo zamezeno majiteli pluginu, nahrávat jakékoliv další aktualizace tohoto pluginu.

Pokud máte na webu plugin https://wordpress.org/plugins/captcha/ nainstalován, buď jej odstraňte, nebo jej co nejrychleji aktualizujte, jinak necháte na webu backdoor s pozvánkou.

Zdroj: https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/

About The Author

Zajímá mne Wordpress, responsivní šablony a zkrátka vše kolem tohoto skvělého redakčního systému.

Related posts

1 Comment

  1. Michal

    Ten wordfence tým je fakt super že takéto vecičky odhaľujú – minule som od nich čítal veľmi dlhý článok o rôznych pluginoch, ktoré robili šarpatu a o tom ako odhaľovali – majiteľa alebo osobu kto ro všetko vytvoril a spôsobil. Ten ,,Soiza,, natom musel riadne prachy zarábať tipoval by som stovky tisíc dolárov mesačne a aj viac. Ešte že sa nato prišlo a dúfam že nie sú v obehu nejaké dalšie takéto srandy. Treba si ale dávať určite pozor.

    Reply

Leave a Reply

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Chcete mít přehled o dění ve světě WordPressu?

Přímo do vašeho emailu

Pravidelný přehled o novinkách, trendech a událostech, které se točí kolem WordPressu. Souhrn toho nejzajímavějšího od nás i ze zahraničí.