Plugin CAPTCHA do WordPressa (300 000 instalacji) – z backdoorem

Niepokojący opis historii darmowego pluginu do WordPressa oferowanego przez BestWebSoft (300 000 aktywnych instalacji), pierwsze miejsce w oficjalnym repozytorium WordPress – po wyszukaniu captcha.

Plugin został przekazany (sprzedany?) pod opiekę innej firmie (domena simplywordpress[]net), która uruchomiła aktualizację, umożliwiającą instalację backdoora. Backdoor dogrywany był w aktualizacji plugina, a sama aktualizacja dociągała plik z domeny simplywordpress[]net.

Może to przypadek, albo błąd w kodzie? Raczej nie…:

A backdoor file allows an attacker, or in this case, a plugin author, to gain unauthorized administrative access to your website. This backdoor creates a session with user ID 1 (the default admin user that WordPress creates when you first install it), sets authentication cookies, and then deletes itself.

The backdoor installation code is unauthenticated, meaning anyone can trigger it.

Backdoor po ustawieniu stosownych ciasteczek przekierowuje operatora na stronę administracyjną WordPressa, więc jeśli ktoś posiada dwuczynnikowe uwierzytelnienie, najprawdopodobniej jest bezpieczny.

Aktualna wersja pluginu – 4.4.5 – została wyczyszczona z backdoora (podatne wersje to 4.3.6 – 4.4.4 – pierwsza pojawiła się 7 grudnia 2017). Dodatkowo, oficjalni właściciele plugina nie mają obecnie możliwości jego aktualizacji.

Jeśli więc posiadacie darmową wersję pluginu CAPTCHA od BestWebSoft, rekomendujemy go ASAP wymienić na inne rozwiązanie oraz przeanalizować czy ktoś już nie dostał się na Wasz system.

–ms