Skadliga WordPress plugin installerad bakdörr på tusentals webbplatser

 

Widget plugin spydde spam till intet ont anande offer

Hackare har använt en WordPress plugin för att installera bakdörrar på upp till 200,000 webbplatser, allowng spam till vara upplagda på intet ont anande webbplatser.

Enligt forskning utförs av IT-säkerhetsföretaget WordFence, plugin, känd som Display Widgets, bör tas bort omedelbart av webbplatsägare. Företaget sade att de senaste tre utgåvorna av plugin har innehållit kod som tillåter författaren att publicera innehåll på en drabbade webbplats.

”Författarna till denna plugin har använt bakdörr för att publicera skräppost innehåll på webbplatser som kör sin plugin. Under senaste tre månader plugin har tagits bort och återtas till WordPress.org plugin databasen sammanlagt fyra gånger ”, sade Mark Maunder, VD för WordFence.

Maunder sade att plugin utvecklades ursprungligen av den ursprungliga upphovsmannen som en öppen källkod-plugin men såldes sedan till andra på 21 Juni. En uppdaterad version, 2.6.0 släpptes av sin nya ägare omedelbart. WordFence informerades av David Law, en UK baserat SEO konsult, att widgeten hade börja installera ytterligare kod och sedan började att hämta data från Laws på servern.

På 23 Juni, WordFence bort skärm Widget, och en vecka senare, den nya ägare släppta versionen 2.6.1 av plugin. Denna utgåva innehöll en fil som heter geolocation.php som, ingen insåg på gång, innehöll skadlig kod. Denna kod tillåtet plugin författare att lägga till nytt innehåll i någon webbplats som kör plugin, till en URL som de valt.

”Vidare, den skadliga koden hindrade någon inloggad användare från att se innehållet. Med andra ord, sajtens ägare skulle inte se det skadligt innehållet. David Law igen kontaktade plugin laget och låta dem veta att plugin är loggning besök på varje webbplats till en extern server, som har integritet konsekvenser ”, sa Maunder.

På 1 Juli, plugin drogs från WordPress förvaret, men sedan följt av version 2.6.2 på 6 Juli. Igen, ingår den skadliga koden som refereras ovan som fortfarande hade gått obemärkt förbi någon.

Det var på 23 Juli när en användare, av namnet på Calvin Ngan öppnas en Trac biljett rapportering att displayen Widgets injicera skräpinnehåll in hans hemsida. Han ingår en länk till Google-resultat som hade indexerats spam och sade den skadliga koden finns i geolocation.php.

I September, version 2.6.3 av plugin släpptes och det ingår samma skadlig kod. Förra veckan, forum användare på WordPress.org rapporterade att spam har injicerats i deras hemsida på forumet Display Widgets plugin stöd.

”Författarna till plugin är aktivt upprätthålla skadlig kod, växla mellan källor för spam och arbetar för att fördunkla (Dölj) den domän som de tilltalande spam från ”, sade Maunder.

Widgeten var borttagna permanentely på 8 September, men Maunder spårat plugin ny köpare till en tjänst som kallas WP Devs, som köper gamla och övergivna plugins.

Hans undersökningar funnit att företaget verkar köras av en person i USA och eventuellt en annan i Östeuropa, att döma av språkliga fel som begåtts av affischen.

Maunder sade att människor i WordPress gemenskapen bör inte ”starta någon häxjakt”.

”Ibland plugins ändra ägarskap och mycket sällan, som inte går bra. ”Som verkar vara vad som hände i detta fall”, sade han.

Källa

One Response

Lämna ett svar