WordPress plugin έχει εγκαταστήσει backdoor σε χιλιάδες ιστότοπους – Texnologia



WordPress plugin έχει εγκαταστήσει backdoor σε χιλιάδες ιστότοπους.

Οι χάκερ έχουν χρησιμοποιήσει ένα πρόσθετο WordPress για να εγκαταστήσουν backdoors σε έως και 200.000 ιστότοπους, με ανεπιθύμητη αλληλογραφία που αποστέλλεται σε ανεπιθύμητες ιστοσελίδες.

Σύμφωνα με έρευνες που πραγματοποιήθηκαν από την εταιρεία ασφάλειας λογισμικού WordFence, το plugin, είναι γνωστό ως Display Widgets, και θα πρέπει να καταργηθεί αμέσως από τους κατόχους ιστότοπων. Η εταιρεία ανέφερε ότι οι τρεις τελευταίες κυκλοφορίες του plugin περιέχουν κώδικα που επιτρέπει στον δημιουργό να δημοσιεύει οποιοδήποτε περιεχόμενο σε έναν επηρεαζόμενο ιστότοπο.

“Οι συγγραφείς αυτής της προσθήκης χρησιμοποιούν το backdoor για να δημοσιεύουν περιεχόμενο ανεπιθύμητης αλληλογραφίας σε ιστότοπους που χρησιμοποιούν το plugin τους. Κατά τη διάρκεια των τελευταίων τριών μηνών, το plugin έχει αφαιρεθεί και εισαχθεί στο αποθετήριο plugin του WordPress.org συνολικά τέσσερις φορές », δήλωσε ο Mark Maunder, Διευθύνων Σύμβουλος του WordFence.

Ο Maunder είπε ότι το plugin δημιουργήθηκε αρχικά από τον αρχικό του συγγραφέα ως plugin ανοιχτού κώδικα, αλλά στη συνέχεια πωλήθηκε σε κάποια εταιρεία στις 21 Ιουνίου. Μια ενημερωμένη έκδοση, 2.6.0 κυκλοφόρησε αμέσως από τον νέο ιδιοκτήτη της. Το WordFence ενημερώθηκε από τον David Law, έναν βρετανό σύμβουλο SEO, ότι το widget είχε αρχίσει να εγκαθιστά πρόσθετο κώδικα και στη συνέχεια ξεκίνησε τη λήψη δεδομένων από το Law’s on server.

Στις 23 Ιουνίου, το WordFence αφαίρεσε το Display Widgets και μια εβδομάδα αργότερα ο νέος κάτοχος εξέδωσε την έκδοση 2.6.1 του plugin. Αυτή η έκδοση περιείχε ένα αρχείο που ονομάζεται geolocation.php το οποίο, κανένας που κατά τη στιγμή εκείνη δεν συνειδητοποίησε, περιείχε κακόβουλο κώδικα. Αυτός ο κώδικας επέτρεψε στον συγγραφέα της προσθήκης να δημοσιεύσει νέο περιεχόμενο σε οποιονδήποτε ιστότοπο χρησιμοποιεί το πρόσθετο, σε μια διεύθυνση URL της επιλογής του.

“Επιπλέον, ο κακόβουλος κώδικας εμπόδισε οποιονδήποτε συνδεδεμένο χρήστη να δει το περιεχόμενο. Με άλλα λόγια, οι ιδιοκτήτες ιστότοπων δεν θα βλέπουν το κακόβουλο περιεχόμενο. Ο David Law ήρθε ξανά σε επαφή με την ομάδα plugin και έμαθε ότι το plugin καταγράφει επισκέψεις σε κάθε ιστότοπο σε έναν εξωτερικό διακομιστή, ο οποίος έχει συνέπειες στην ιδιωτική ζωή », δήλωσε ο Maunder.

Την 1η Ιουλίου, το plugin τραβήχτηκε από το χώρο αποθήκευσης του WordPress, αλλά στη συνέχεια ακολούθησε η έκδοση 2.6.2 στις 6 Ιουλίου. Και πάλι, συμπεριελάμβανε τον κακόβουλο κώδικα που αναφέρθηκε παραπάνω, ο οποίος είχε παραμείνει ως έχει.

Στις 23 Ιουλίου, όταν ένας χρήστης, με την επωνυμία Calvin Ngan, άνοιξε άνοιξε ένα θέμα σε κάποιο φόρουμ για το συγκεκριμένο θέμα λέγοντας ότι το Widgets Display έστελνε ανεπιθύμητο περιεχόμενο στην ιστοσελίδα του. Περιέγραψε πως ένα σύνδεσμος σε μορφή URL της ιστοσελίδας του εμφανιζόταν στα αποτελέσματα Google που το είχε αναπροσαρμόσει ως spam και τελικά ο ίδιος παρατήρησε πως ο κακόβουλος κώδικας βρίσκεται στο geolocation.php.

Τον Σεπτέμβριο κυκλοφόρησε η έκδοση 2.6.3 του plugin και περιελάμβανε τον ίδιο κακόβουλο κώδικα. Την περασμένη εβδομάδα, ένας χρήστης φόρουμ στο WordPress.org ανέφερε ότι το spam έχει εγχυθεί στον ιστότοπό του μέσω αυτού του εγκατεστημένου προσθέτου.

“Οι συντάκτες του πρόσθετου διατηρούν ενεργό το Malicious τους, αλλάζοντας συνεχώς πηγές των ανεπιθύμητων μηνυμάτων για να μην μπορεί να εντοπιστεί εύκολα και προσπαθώντας να αποκρύψουν τον τομέα από τον οποίο αποστέλλουν το spam”, δήλωσε ο Maunder.

Το widget καταργήθηκε μόνιμα στις 8 Σεπτεμβρίου, αλλά ο Maunder παρακολούθησε τον νέο αγοραστή της προσθήκης σε μια υπηρεσία που ονομάζεται WP Devs, η οποία αγοράζει παλιά και εγκαταλελειμένα plugins.

Οι έρευνές του διαπίστωσαν ότι η εταιρεία φαίνεται να διευθύνεται από ένα άτομο στις ΗΠΑ και ενδεχομένως ένα άλλο στην Ανατολική Ευρώπη, κρίνοντας πως υπάρχουν σοβαρά γλωσσικά λάθη στην περιγραφή του Widgets Display.



こんな記事も読まれています



コメントを残す