Populární plugin Captcha, s více než třista tisící aktivními instalacemi, byl na nějakou dobu odstraněn z repositáře WordPressu.
Dle vyjádření vývojáře, šlo o problém s použitím WordPress v názvu pluginu a byl odstraněn do té doby, než bude přebrandován.
WordFence tým sleduje pluginy, s velkou uživatelskou základnou, které jsou z nějakého důvodu odstraněny z repositáře a udělá jejich bezpečnostní audit.
Při kontrole pluginu, byl nalezen tento kód:
Tento kód při automatické aktualizaci stáhne kopii pluginu v zip souboru z webu simplywordpress.net a přeinstaluje aktivní verzi pluginu.
Nová verze obsahuje drobné změny v kódu a soubor plugin-update.php, který je backdoor:
Zavoláním tohoto souboru je umožněn neautorizovaný administrátorský přístup do administrace webu. Navíc je soubor zcela nechráněn a zavolat jej může kdokoliv. Což je splněný sen všech automatizovaných útoků.
Důležité je, že při nainstalování verze s backdoorem, se změní i url, z které byl stažen závadný zip a nahradí se verzí, jenž je totožná s pluginem na WordPress.org. Tím je smazána stopa po backdooru.
Kdo stojí za pluginem Captcha?
Podobně, jako dříve, odvedl tým WordFence přímo detektivní práci.
Psali jsme dříve: https://musilda.cz/skandal-ve-wp-repozitari-plugin-vice-nez-200k-instalacemi-obsahoval-zadni-vratka/
A opakuje se nám zde stejný postup. Původní developer přenechal vývoj pluginu novému vlastníkovi. Původní vývojář, společnost Bestwebsoft informovala o přenechání vývoje 5.9.2017 na svém webu: https://bestwebsoft.com/free-captcha-version-is-now-supported-by-other-developers/
Kdo je ale současný vývojář? To není zcela jasné, pokud vás zajímají podrobnosti, podívejte se na https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/, kde je více informací a opět se zmiňuje jistý Souza, známý z vvýše zmíněného článku.
Plugin je opět v repositáři
Plugin se opět objevil v repositáři na WordPress.org, protože tým WordFence a tým pro pluginy z WordPress.org upravili plugin s backdoorem a vydali jeho novou verzi 4.4.5, jenž je již bezpečná. Zároveň bylo zamezeno majiteli pluginu, nahrávat jakékoliv další aktualizace tohoto pluginu.
Pokud máte na webu plugin https://wordpress.org/plugins/captcha/ nainstalován, buď jej odstraňte, nebo jej co nejrychleji aktualizujte, jinak necháte na webu backdoor s pozvánkou.
Zdroj: https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/
Ten wordfence tým je fakt super že takéto vecičky odhaľujú – minule som od nich čítal veľmi dlhý článok o rôznych pluginoch, ktoré robili šarpatu a o tom ako odhaľovali – majiteľa alebo osobu kto ro všetko vytvoril a spôsobil. Ten ,,Soiza,, natom musel riadne prachy zarábať tipoval by som stovky tisíc dolárov mesačne a aj viac. Ešte že sa nato prišlo a dúfam že nie sú v obehu nejaké dalšie takéto srandy. Treba si ale dávať určite pozor.