Популярний плагін для WordPress містить у собі бекдор

image

Фахівці в області інформаційної безпеки знайшли бекдор в плагіні для WordPress, який вносив зміни в основні файли платформи з метою подальшої авторизації і крадіжки даних.

Перші ознаки наявності бекдор були помічені співробітниками компанії Sucuri, що працює в області забезпечення інформаційної безпеки web-сайтів. Один з їхніх клієнтів зауважив файл з дивною назвою (auto-update.php), не існував до недавнього оновлення плагіна.

Мова йде про Custom Content Type Manager (CCTM), популярному плагіні для WordPress, призначеному для створення довільного типу постів. CCTM був доступний в директорії плагінів на сайті WordPress протягом трьох років і зібрав собі досить велику аудиторію – він встановлений на більш ніж 10000 сайтів.

Версія 0.9.8.8 плагіна Custom Content Type Manager містить у собі шкідливий код

Плагін, виглядав покинутим останні 10 місяців, за останні два тижні загадковим чином змінив свого власника, що відразу спричинило за собою створення і випуск нової версії, за авторством його нового розробника з нікнеймом Wooranker. Але нова версія містила лише шкідливі поновлення:

  • Був доданий файл auto-update.php, здатний завантажувати файли з віддаленого сервера на заражений сайт.
  • Wooranker додав файл CCTM_Communicator.php, який працював у парі зі старим, раніше безпечним файлом даного плагіна. Метою цих двох файлів було оповіщення Wooranker'a про появу нещодавно заражених сайтів за допомогою пінгу до його серверу.
  • Крім збору інформації на зараженому сайті, нова версія CCTM перехоплювала логіни та паролі користувачів за допомогою WordPress, відправляючи ці дані в зашифрованому вигляді на wordpresscore.com.
Модифікації були випущені оновлення 0.9.8.8 для Custom Content Type Manager, що дозволило їм легко поширитися за допомогою включеній функції авто-оновлення на сайтах або при встановленні самими користувачами.

Sucuri повідомляє, що після отримання вкрадених даних Wooranker намагався їх використовувати. Він вручну спробував авторизуватися на одному з заражених сайтів, але безуспішно, так як його власник змінив URL на нестандартну посилання. Після невдачі Wooranker швидко змінив тактику. Він використовував бекдор файлу
auto-update.php
і змушував сайт жертви завантажувати та встановлювати файл
c.php
, який, у свою чергу, створював інший файл:
wp-options.php
(WordPress використовує
wp-settings.php
). Створений файл повинен був змінити основні файли WordPress
wp-login.php
,
wp-admin/user-new.php
та
wp-admin/user-edit.php
.

Ці зміни дозволяли хакеру контролювати дії користувачів над акаунтами: створення, редагування і їх зміна, що дозволяло перехоплювати дані до їх шифрування і красти отриману інформацію.

Розкрив хакер свою особистість?

На випадок, якщо можливостей файлу
CCTM_Communicator.php
ставало недостатньо, Wooranker створив власний аналітичний код на JavaScript, який завантажувався через плагін CCTM як фальшива версія jQuery.

Цей файл передавав інформацію про нових заражених сайтах на домен
donutjs.com
. Надалі команда Sucuri вирахувала, що всі використані в цій атаці домени належали людині під ім'ям Вишнудат Мангилипуди, який мешкає в Індії, місті Андрха-Прадеш, але його дані також могли бути вкрадені і малоймовірно, що він — наш хакер.

Хоч і Sucuri не першими помітили дивну поведінку плагіна, але, на відміну від його користувачів, вони зрозуміли, що файл auto-update.php є бекдорів, а не простий уразливістю в безпеці плагіна.

Адміністратори WordPress з встановленим CCTM повинні негайно видалити його і відкотити основні файли WordPress до їх стандартних версій. Якщо ж додаток CCTM вам необхідно, то використовуйте його останню стабільну версію 0.9.8.6 (версія 0.9.8.7 має уразливості).

Також зверніть увагу на те, що вже вийшла версія 0.9.8.9 CCTM, не містить шкідливого коду і ідентична версії 0.9.8.6.

Источник

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.