В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

20 декабря 2017 года

В плагине Captcha к системе управления контентом WordPress, который насчитывает более 300 тысяч активных установок, выявлен бэкдор, предоставляющий доступ с правами администратора. После установки обновления в систему устанавливается файл с бэкдором plugin-update.php, который создаёт идентификатор сеанса с правами администратора и настраивает связанные с ним аутентификационные cookie.

Случай с Captcha является продолжением сентябрьской истории с появлением бэкдора в плагине "Display Widgets". Captcha также был продан (Архивная копия от 18 сентября 2020 на Wayback Machine) Мэйсону Сойза (Mason Soiza) и новый владелец, выждав три месяца, выпустил обновление 4.3.6, в котором среди накопившихся исправлений был интегрирован вредоносный код. Метод интеграции вредоносного кода в Captcha отличается от случая с дополнением "Display Widgets" иным методом заметания следов - в код Captcha была добавлена вставка для загрузки стороннего пакета обновлений в обход официального каталога WordPress.org, что является грубейшим нарушением правил.

Обновление запрашивалось с внешней страницы https://simplywordpress.net/captcha/captcha_pro_update.php (Архивная копия от 23 декабря 2017 на Wayback Machine), с который загружался ZIP-архив с бэкдором. В ZIP-архиве размещалась текущая актуальная версия Captcha, отличающаяся от варианта из каталога WordPress.org наличием файла plugin-update.php с бэкдором, через котоорый любой сторонний злоумышленник получал возможность доступа к сайту с правами администратора (ID 1). Обновление также отличалось заменой имени обновления с captcha_pro_update.php на captcha_free_update.php, при загрузке которого выдавался ZIP-архив без бэкдора.

Примечательно, что бэкдор был выявлен не после жалоб пользователей или анализа кода, а в результате случайного стечения обстоятельств - плагин был заблокирован из-за ненадлежащего использования торговой марки wordpress в имени нового разработчика плагина (Simplywordpress). Удаление привлекло внимание исследователей безопасности из компании Wordfence, которые решили провести аудит кода плагина и не ошиблись, сразу натолкнувшись на вредоносный код.

Представители Wordfence сообщили о находке администрации WordPress.org, которая инициировала доставку внештатного обновления Captcha 4.4.5, в котором откатила все изменения, предложенные новыми владельцами в выпусках с 4.3.6 по 4.4.4. Кроме того, была заблокирована возможность размещения обновлений без прохождения ручного рецензирования для Captcha и пяти других плагинов того же автора (Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange). Новая версия с бэкдором была опубликована 4 декабря, а его блокировка была произведена 19 декабря.

Источники[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=В_плагине_Captcha_к_WordPress,_имеющем_300_тысяч_установок,_выявлен_бэкдор&oldid=16637490