Plugin para WordPress que backdoor instalado en miles de sitios web

 

Widget plugin arrojó spam a víctimas desprevenidas

Los hackers han utilizado un plugin de WordPress para instalar puertas traseras en hasta 200,000 sitios web, allowng spam cargarse en sus sitios web.

Según investigación llevado a cabo por la empresa de seguridad informática WordFence, el plugin, conocido como Widgets de la pantalla, deben ser retiradas inmediatamente por propietarios de sitios web. La firma dijo que las tres últimas versiones del plugin han contenido código que permite al autor publicar cualquier contenido en un sitio web afectado.

"Los autores de este plugin han estado usando la puerta trasera para publicar contenido de spam en sitios de ejecutar sus. Durante los últimos tres meses el plugin ha eliminado y readmitido en el repositorio del plugin de WordPress.org un total de cuatro veces, "dijo Mark Maunder, Director General de WordFence.

Maunder dice que el plugin fue desarrollado originalmente por su autor original como un plugin de código abierto, pero entonces fue vendido a otros en 21 Junio. Una versión actualizada, 2.6.0 fue liberado por su nuevo propietario inmediatamente. WordFence fue informado por David Law, Reino Unido base a Consultor SEO, que el widget había comenzar a instalar código adicional y luego comenzó a descargar datos de la ley en servidor.

En 23 Junio, WordFence quitar el Widget de la pantalla, y una semana después, la nueva versión de propietario 2.6.1 del plugin. Esta versión contiene un archivo llamado geolocation.php que, nadie se dio cuenta en el momento, contiene código malicioso. Este código permitida al autor de plugin para publicar nuevo contenido a cualquier sitio web de ejecutar el, a una dirección URL de su elección.

"Además, el código malicioso prevenido cualquier usuario logueado de ver el contenido. En otras palabras, los propietarios de sitios no vería el contenido malicioso. David Law otra vez en contacto con el equipo de plugin y hacerles saber que el plugin es registro de visitas a cada sitio web a un servidor externo, que tiene implicaciones de privacidad,"dijo Maunder.

En 1 Julio, el plugin fue tirado desde el repositorio de WordPress, pero seguido por versión 2.6.2 en 6 Julio. Otra vez, incluye el código malicioso hace referencia sobre el que todavía había pasado desapercibido por nadie.

Fue en 23 Julio cuando un usuario, con el nombre de Calvin Ngan abrir un ticket de Trac informes que Widgets de la pantalla era inyectar contenido spam en su sitio web. Incluye un enlace a los resultados de Google que tenía indexadas el spam y el código malicioso es en geolocation.php.

En septiembre, Versión 2.6.3 del plugin fue lanzado y que incluye el mismo código malicioso. La semana pasada, un usuario del foro en WordPress.org registrados que spam se ha inyectado en su sitio web en el foro de soporte del plugin de Widgets de la pantalla.

"Los autores del plugin son activamente mantener su código malicioso, conmutación entre fuentes de spam y trabajo ofuscar (ocultar) el dominio que traer spam,"dijo Maunder.

El widget fue quitada permanentemente en 8 Septiembre, pero Maunder rastrearon nuevo comprador del plugin a un servicio llamado desarrolladores de WP, que compra plugins viejos y abandonados.

Sus investigaciones encontraron que la empresa parece ser dirigido por una persona en los Estados Unidos y posiblemente en Europa del este, a juzgar por los errores lingüísticos cometidos por el cartel.

Maunder dijo que la gente en el WordPress comunidad no debe "empezar cualquier cazas de Brujas".

"De vez en cuando complementos cambian propiedad y muy raramente, no va bien. "Que parece ser lo que sucedió en este caso, dijo.

Fuente

2 Comentarios