Backdoor en plugin WordPress con mas de 300000 instalaciones
Conocido sólo como Captcha el plugin fue uno de los plugins de CAPTCHA más populares en el sitio oficial de WordPress
BestWebSoft vendió la versión gratuita de su plugin de Captcha para un nuevo desarrollador llamado simplemente WordPress el 5 de septiembre, de acuerdo con un blog en el sitio de la compañía.Exactamente tres meses después de la venta, el nuevo propietario del complemento enviado Captcha versión 4.3.7 , que contenía código malicioso que conectaría al dominio simplywordpress.net y descargar un paquete de actualización plug-in desde fuera del repositorio oficial de WordPress (en contra de las reglas WordPress.org).
"Esta puerta trasera crea una sesión con el ID de usuario 1 (usuario administrador por defecto de WordPress que crea cuando se instala por primera vez), establece las cookies de autenticación, y luego se borra a sí mismo", dice Matt Barry, investigador de seguridad Wordfence. "El código de instalación de puerta trasera es autenticado, lo que significa que cualquiera puede desencadenarla."Además, también hay código para desencadenar una actualización limpia que elimina cualquier rastro de la puerta de atrás, por si acaso el atacante decide borrar todas sus huellas.
Backdoor descubierta por accidente
Inicialmente, la actualización no llamar la atención de nadie y que presumen que habría continuado a volar bajo el radar incluso hoy en día.Lo que expone la puerta trasera no era una queja usuario, pero una reclamación de copyright por parte del equipo de WordPress. El equipo de WordPress elimina el plugin Captcha desde la página oficial WordPress.org porque nuevo autor del plugin había utilizado la marca "WordPress" en su nombre y plug-in de marca.
La eliminacion del plugin desde el sitio de WordPress alertó al equipo de seguridad en Wordfence, una compañía que ofrece un poderoso Web Application Firewall (WAF) para los sitios de WordPress.
"Cada vez que el repositorio de WordPress elimina un plugin con una gran base de usuarios, comprobamos para ver si era posiblemente debido a algo relacionado con la seguridad", dice Barry, explicando cómo llegaron a revisar el código del plugin y manchar la puerta trasera.
Una vez que vieron a la puerta trasera, Wordfence notificó al equipo de seguridad de WordPress, que a continuación, poner juntos una versión limpia del plugin Captcha (versión 4.4.5), que inmediatamente comenzaron a forzar a instalar en todos los sitios afectados, la eliminación de las versiones de los usuarios backdoored sitios. Más de 100.000 sitios recibieron la versión limpia del plugin Captcha el fin de semana, dijo que el equipo de WordPress.
Los expertos dicen que han descubierto los paquetes de actualización backdoored en simplywordpress.net para otros plugins de WordPress, como: Covert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange
Ninguno de estos nombres parece corresponder a los plugins alojados en el repositorio oficial de WordPress.
No obstante, algunas pistas en el dominio simplywordpress.net han puesto el equipo de Wordfence tras la pista de un abusador sabe que se han reunido y se expone en el pasado.
Según Barry, la empresa simplywordpress parece estar conectado a Mason Soiza, un individuo que previamente han vinculado a puertas traseras en los widgets de visualización (+200,000 Instala) y 404 a 301 (70.000) instalaciones.
Wordfence afirma Soiza compra de plugins de WordPress y añadiendo código de puerta trasera para cada uno. Soiza está supuestamente utilizar las versiones backdoored para insertar vínculos de retroceso ocultos a los dominios de spam, incluso para prestamos, una empresa que posee. Todo el propósito de esta actividad es ayudar a los sitios de Soiza un mejor posicionamiento en los resultados de búsqueda.