Dannoso WordPress plugin installato backdoor su migliaia di siti Web

 

Widget plugin vomitato spam a vittime ignare

Gli hacker hanno utilizzato un plugin per WordPress per installare backdoor su fino a 200,000 siti Web, allowng spam per essere caricati su siti web ignari.

Secondo ricerca effettuate da società di sicurezza IT WordFence, il plugin, noto come Display Widget, deve essere rimosso immediatamente da proprietari di siti Web. L'azienda ha detto che le ultime tre versioni del plugin hanno contenuto il codice che consente all'autore di pubblicare qualsiasi contenuto su un sito interessato.

"Gli autori di questo plugin che hanno utilizzato la backdoor per pubblicare contenuti spam su siti che eseguono loro plugin. Nel corso degli ultimi tre mesi il plugin è stato rimosso e riammesso nel repository di plugin di WordPress.org un totale di quattro volte, "ha detto Mark Maunder, CEO di WordFence.

Maunder ha detto che il plugin è stato originariamente sviluppato dal suo autore originale come un plugin open source ma fu poi venduto ad altri il 21 Giugno. Una versione aggiornata, 2.6.0 è stato rilasciato dal suo nuovo proprietario immediatamente. WordFence è stato informato da David Law, un Regno Unito basato consulente SEO, che il widget aveva iniziare l'installazione di codice aggiuntivo e poi iniziato a scaricare dati della legge sul server.

Il 23 Giugno, WordFence rimosso Display Widget, e una settimana più tardi, la versione rilasciata di nuovo proprietario 2.6.1 del plugin. Questa versione conteneva un file chiamato geolocation.php che, nessuno ha capito al momento, codice dannoso contenuto. Questo codice ha permesso l'autore plugin inviare nuovi contenuti di qualsiasi sito Web eseguire il plugin, a un URL di loro scelta.

"Inoltre, il codice dannoso impedito qualsiasi utente registrato di vedere il contenuto. In altre parole, i proprietari del sito non vedrebbe il contenuto dannoso. David Law nuovamente contattato il team di plugin e far loro sapere che il plugin è registrazione visite a ogni sito Web a un server esterno, che ha implicazioni per la privacy,"ha detto Maunder.

Il 1 Luglio, il plugin è stato tirato dal repository di WordPress, ma poi seguita dalla versione 2.6.2 il 6 Luglio. Ancora una volta, incluso il codice dannoso di cui sopra che era ancora passato inosservato da chiunque.

Era il 23 Luglio quando un utente, con il nome di Calvin Ngan ha aperto una segnalazione di biglietto Trac che Display Widget era iniettando contenuti spam nel suo sito Web. Ha incluso un link ai risultati di Google che aveva indicizzato lo spam e detto che il codice dannoso è in geolocation.php.

Nel mese di settembre, Versione 2.6.3 del plugin è stato rilasciato e ha incluso lo stesso codice dannoso. La settimana scorsa, un utente del forum su WordPress.org segnalato che lo spam è stato iniettato nel loro sito Web sul forum di supporto di visualizzazione widget plugin.

"Gli autori del plugin sono attivamente mantenendo il codice dannoso, commutazione tra fonti per lo spam e lavoro a offuscare (nascondere) il dominio che essi sono il recupero spam da,"ha detto Maunder.

Il widget è stato rimosso permanente su 8 Settembre, ma Maunder ha rintracciato nuovo acquirente del plugin per un servizio chiamato WP Devs, che compra plugin vecchio e abbandonato.

Le sue indagini ha trovato che l'azienda sembra essere gestito da una persona negli Stati Uniti e possibilmente un altro in Europa orientale, a giudicare dagli errori linguistici fatti dal poster.

Maunder ha detto che le persone in WordPress comunità non dovrebbe "iniziare qualsiasi caccia alle streghe".

"Occasionalmente plugin cambiare la proprietà e molto raramente, che non va bene. Che sembra essere quello che è successo in questo caso,"ha detto.

Fonte

una risposta

Lasciare una risposta