BACKDOOR ENCONTRADO EN PLUGIN DE WORDPRESS

El plugin Display Widgets ha sido utilizado para instalar un Backdoor o puerta trasera en sitios de WordPress

El código de puerta trasera se encontró en Display Widgetss versión 2.6.1 (publicado 30 de junio) y la versión 2.6.3 (publicado 2 Septiembre).

El equipo WordPress.org ha intervenido y ha eliminado el plugin desde el repositorio oficial de plugins de WordPress. En el momento en que fue retirado, el plugin se ha instalado en más de 200.000 sitios, aunque no se puede estar seguro cómo muchos de ellos se han actualizado a una versión que incluye el comportamiento malicioso.

Lo más sorprendente es que los miembros del personal WordPress.org eliminan el plugin tres veces antes de violaciónes similares.

Stephanie Wells de Strategy11 desarrolló el plugin, pero después de cambiar su enfoque a una versión de pago del complemento, se decidió vender la versión de código abierto a un nuevo desarrollador que habría tenido el tiempo para atender a su base de usuarios.

Un mes después de la adquisición del complemento en mayo, su nuevo propietario publicó una primera versión nueva - V2.6.0 - el 21 de junio.

Un día más tarde, David Law, un consultor SEO y autor de un plugin llamado Display Widgets SEO Pluss, envía un correo electrónico al equipo de WordPress.org les informa de que la versión 2.6.0 fue romper las reglas de plugins de WordPress mediante la descarga de más de 38 MB de código desde un servidor de terceros.

De acuerdo con la Ley, este código de 38MB contenía el seguimiento de características que registran el tráfico en sitios web utilizando los Display Widgets 2.6.0. El código adicional fue recopilando datos tales como direcciones IP del usuario, cadenas de agente de usuario, el dominio en el que se recogieron los datos y la página que el usuario estaba viendo. El plugin también estaba enviando esta información a un servidor de terceros.

Otros usuarios también vieron este comportamiento y reportaron el problema a través de foro de soporte del plugin en WordPress.org.

Tras el informe del Derecho, el equipo WordPress.org elimina el plug-in de los plugins de WordPress repository al día siguiente.

Una semana más tarde, el 1 de julio, el nuevo autor del plugin logró restablecer el plugin y lanzar una nueva versión - V2.6.1. Esta versión integra el archivo de 38MB (geolocation.php) dentro del plug-in, para evitar romper las reglas WordPress.org que dicen que los plugins no pueden descargar el código desde los servidores de terceros.

En esta ocasión, se informó que el plugin tenia una puerta trasera malicioso que permite al propietario del plugin conectarse a sitios remotos y crear nuevas páginas o mensajes. La función de registro de tráfico de los usuarios también estaba todavía presente.

Un día después, el plugin se retira desde el repositorio oficial de WordPress Plugins por segunda vez en una semana.

Sin ser molestado por todos los derribos, el nuevo autor del plugin probó suerte de nuevo. De acuerdo con una lista de cambios plug-in, el nuevo autor publicó la versión 2.6.2 al repositorio de plugins de WordPress el 6 de julio.

Durante unos días, el plugin parece haber dejado todo comportamiento malicioso. Por desgracia, esto no duró. El 23 de julio, un usuario llamado Calvin Ngan presentó quejas con el personal de WordPress, acusando el plugin de "[] la creación de páginas undetectedable [sic] con enlaces spam."

Al igual que hizo antes de la Ley, Ngan dice que siguió el comportamiento malicioso al archivo geolocation.php, añadido por el nuevo autor del plugin en la versión 2.6.1.

Los investigadores descubrieron que esta versión crea nuevas páginas en las que se inserta enlaces a otros sitios. Estas páginas y blogs no aparecen en el panel de administración de servidor. Además, el plugin también ocultó estas páginas de spam de los usuarios registrados (generalmente administradores del sitio).

Para crear estos mensajes secretos, el plug-in en contacto con un dominio remoto desde donde se recupera el contenido que se suponía que insertar en la página. Wordfence ha rastreado el plugin en contacto los siguientes dominios, todo alojado en el mismo servidor en 52.173.202.113:

Un día más tarde después del informe de Ngan, el equipo de WordPress elimina los widgets de visualización de plug-in desde el sitio oficial por tercera vez.

Una vez más, los nuevos autores no se dan por vencidos. El 2 de septiembre la que incluirán la versión 2.6.3 en el repositorio de WordPress.

Pero resulta que esta versión también es maliciosa, porque el 7 de septiembre, otro usuario se quejó una vez más sobre el plugin de insertar enlaces de spam en su sitio.

En dos respuestas publicado en el tema de ayuda del plugin, dos personas que desean publicar desde la cuenta oficial del plugin trataron de restar importancia al incidente, la reivindicación de sus sitios fueron cortados porque cuando los usuarios combinar el código geolocation.php con otros plugins, abrieron su sitios a la explotación.

El plugin se eliminó una vez más desde el repositorio de WordPress.org Plugins el 8 de septiembre, por cuarta vez. Esta vez, la eliminación parece ser permanente.

El personal WordPress.org parecen haber tomado el plugin y han lanzado la versión 2.7.0 , que incluye exactamente el mismo código de la versión 2.0.5, la última versión limpia del plugin, antes de que fuera vendida a un nuevo propietario.

El plug-in no está disponible en el sitio oficial WordPress.org más, lo que significa que no está disponible en cualquier instalación nueva, pero la actualización aparecerá en los backends de sitios de WordPress, donde el plugin está instalado todavía.

El plugin ha sido comprado por una compañía especializada en la compra de plugins antiguos

El equipo Wordfence, dirigida por su CEO, Mark Maunder, también ha invertido algo de tiempo en localizar a quién estaba detrás de los ataques de puerta trasera.

Maunder dice que rastreó un nuevo comprador del plugin para un servicio llamado WP Devs. Como dice el sitio de la compañía en su página web, que son un servicio que compra plugins viejos y abandonados, siendo actualmente en posesión de otros 34 plugins.

Según la investigación de Maunder, WP Devs parece estar dirigido por dos personas, uno de los EE.UU. y uno que cree que se basa en Rusia.

Maunder también se acercó a uno de los propietarios WP Devs, que afirmaron que compró el plugin de $ 15.000 y más tarde revendido por $ 20.000 a una empresa en California, que lo obligó a firmar un acuerdo de no divulgación (NDA) que ahora le impide diciendo más. No está claro si el portavoz de WP Devs estaba diciendo la verdad, en el momento de la escritura.

Maunder también señala que quien estaba detrás de las cuatro versiones maliciosas mostrar los widgets inserta el código de puerta trasera intencional y esto no parece ser el caso en el que alguien copia-pega el código malicioso de otro proyecto por accidente.

Basa su hipótesis sobre el hecho de que la versión 2.6.3 (la última versión maliciosa) incluyó también una corrección de errores en el código de puerta trasera, lo que significa nuevo autor del plugin sabía exactamente lo que estaba haciendo.


Fecha actualización el 2019-01-13. Fecha publicación el 2017-9-13. Categoría: Wordpress. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer
Backdoor en Wordpress