-->

Anuncio!

Backdoor encontrado no plugin WordPress com mais de 300.000 instalações

Um plugin do WordPress instalado em mais de 300.000 sites foi modificado recentemente para baixar e instalar um backdoor oculto. A equipe do WordPress interveio e removeu este plugin do repositório oficial do WordPress Plugins, além de fornecer versões limpas para clientes afetados.

Conhecido apenas como o Captcha, o plugin foi um dos plugins CAPTCHA mais populares no site oficial do WordPress e foi o trabalho de um desenvolvedor de plugins bem estabelecido chamado BestWebSoft, uma empresa por trás de muitos outros populares plugins do WordPress.

Plugin vendido em setembro, backdoored em dezembro


O BestWebSoft vendeu a versão gratuita do seu plug-in Captcha para um novo desenvolvedor chamado Simply WordPress em 5 de setembro, de acordo com uma publicação no blog do site da empresa.

Exatamente três meses após a venda, o novo proprietário do plugin enviou a Captcha versão 4.3.7 , que continha código malicioso que se conectaria ao domínio simplywordpress.net e baixaria um pacote de atualização do plugin de fora do repositório oficial do WordPress (contra regras do WordPress.org) . Este pacote de atualização sneaky instalaria uma porta traseira em sites usando o plugin.

"Esta porta traseira cria uma sessão com ID de usuário 1 (o usuário de administrador padrão que o WordPress cria quando você a instala pela primeira vez), define cookies de autenticação e, em seguida, exclui", diz Matt Barry, pesquisador de segurança da Wordfence. "O código de instalação da porta traseira não foi autenticado, o que significa que qualquer um pode ativá-lo".

Além disso, também há código para desencadear uma atualização limpa que remove todos os vestígios da porta dos fundos, apenas no caso de o atacante decidir apagar todas as suas faixas.


Backdoor descoberto por acidente


Inicialmente, a atualização não captou o olho de ninguém e presumimos que continuaria a voar sob o radar até hoje.

O que expôs o backdoor não era uma reclamação de usuário, mas uma reivindicação de direitos autorais da equipe do WordPress. Alguns dias atrás , o time do WordPress removeu o plugin Captcha do site oficial do WordPress.org porque o novo autor do plugin usou a marca registrada "WordPress" em seu nome e marca de plugins.

A remoção do plugin do site WordPress alertou a equipe de segurança da Wordfence, uma empresa que fornece um poderoso Web Application Firewall (WAF) para sites do WordPress.

"Sempre que o repositório do WordPress remove um plugin com uma grande base de usuários, verificamos se é possivelmente devido a algo relacionado à segurança", diz Barry, explicando como eles vieram a rever o código do plugin e detectar o backdoor.

O time WordPress envia versão do plugin sem código malicioso


Uma vez que descobriram o backdoor, a Wordfence notificou a equipe de segurança do WordPress, que juntou uma versão limpa do plugin Captcha (versão 4.4.5), que eles imediatamente começaram a forçar a instalação em todos os sites afetados, removendo versões backdoored dos usuários sites. Mais de 100.000 sites receberam a versão limpa do plugin Captcha durante o fim de semana, disse a equipe do WordPress.

Desde a primeira vez que atravessou o backdoor, a equipe da Wordfence gastou incansavelmente seu tempo em examinar as negociações da empresa Simply WordPress.

Especialistas dizem que descobriram pacotes de atualização backdoored no domínio simplywordpress.net para outros plugins do WordPress, como:

   Covert me Popup 

   Morte aos Comentários 

   Captcha Humano 

   Smart Recaptcha 

   Social Exchange

Nenhum desses nomes parece corresponder a plugins hospedados no repositório oficial do WordPress.


O novo autor do plugin já fez isso antes


No entanto, pistas no domínio simplywordpress.net colocaram a equipe Wordfence na trilha de um abusador conhecido que conheciam e expuseram no passado.

De acordo com Barry, a empresa Simply WordPress parece estar conectada ao Mason Soiza , um indivíduo que anteriormente ligou para portas traseiras no Display Widgets (+200.000 instalações) e 404 a 301 (70.000 instalações).

A Wordfence afirma que a Soiza vem comprando plugins do WordPress e adicionando código de backdoor a cada um. Soiza está supostamente usando as versões backdoored para inserir backlinks escondidos em domínios spam, inclusive para Payday Loans, uma empresa que ele possui. O objetivo deste negócio é ajudar os sites da Soiza a se classificar melhor nos resultados de pesquisa.

Todas essas conexões são explicadas em detalhes finos em dois relatórios do WordFence, um detalhando o backdoor Captcha recente e outro detalhando incidentes passados .
Fonte: BleepingComputer
Compartilhar:
← Anterior Proxima → Inicio

Um comentário:

Formulário de contato

Nome

E-mail *

Mensagem *

Sites Parceiros

Anuncio No Post

Anuncio No Post

Anuncio Aqui!