Специалисты в области информационной безопасности нашли бэкдор в плагине для WordPress, который вносил изменения в основные файлы платформы с целью дальнейшей авторизации и кражи пользовательских данных.
Первые признаки наличия бэкдора были замечены сотрудниками компании Sucuri, работающей в области обеспечения информационной безопасности web-сайтов. Один из их клиентов заметил файл со странным названием (auto-update.php), не существовавший до недавнего обновления плагина.
Речь идёт о Custom Content Type Manager (CCTM), популярном плагине для WordPress, предназначенном для создания произвольного типа постов. CCTM был доступен в директории плагинов на сайте WordPress в течение трёх лет и собрал себе довольно большую аудиторию – он установлен на более чем 10000 сайтов.
Версия 0.9.8.8 плагина Custom Content Type Manager содержит в себе вредоносный код
Плагин, выглядевший заброшенным последние 10 месяцев, за последние две недели загадочным образом изменил своего владельца, что сразу повлекло за собой создание и выпуск новой версии, за авторством его нового разработчика с никнеймом Wooranker. Но новая версия содержала лишь вредоносные обновления:
- Был добавлен файл auto-update.php, способный загружать файлы с удалённого сервера на заражённый сайт.
- Wooranker добавил файл CCTM_Communicator.php, который работал в паре со старым, ранее безопасным файлом данного плагина. Целью этих двух файлов было оповещение Wooranker'a о появлении недавно заражённых сайтов при помощи пинга к его серверу.
- Помимо сбора информации на заражённом сайте, новая версия CCTM перехватывала логины и пароли пользователей при помощи WordPress, отправляя эти данные в зашифрованном виде на wordpresscore.com.
Модификации были выпущены как обновление 0.9.8.8 для Custom Content Type Manager, что позволило им легко распространиться при помощи включенной функции авто-обновления на сайтах или при установке самими пользователями.
Sucuri сообщает, что после получения украденных данных Wooranker пытался их использовать. Он вручную попробовал авторизоваться на одном из заражённых сайтов, но безуспешно, так как его владелец изменил URL на нестандартную ссылку. После неудачи Wooranker быстро сменил тактику. Он использовал бэкдор файла auto-update.php и вынуждал сайт жертвы закачивать и устанавливать файл c.php, который, в свою очередь, создавал другой файл: wp-options.php (WordPress использует wp-settings.php). Созданный файл должен был изменить основные файлы WordPress: wp-login.php, wp-admin/user-new.php, и wp-admin/user-edit.php.
Эти изменения позволяли хакеру контролировать действия пользователей над аккаунтами: создание, редактирование и их изменение, что позволяло перехватывать данные до их шифрования и красть полученную информацию.
Раскрыл ли хакер свою личность?
На случай, если возможностей файла CCTM_Communicator.php становилось недостаточно, Wooranker создал собственный аналитический код на JavaScript, который загружался через плагин CCTM как поддельная версия jQuery.
Этот файл передавал информацию о новых заражённых сайтах на домен donutjs.com. В дальнейшем команда Sucuri вычислила, что все использованные в этой атаке домены принадлежали человеку под именем Вишнудат Мангилипуди, проживающем в Индии, городе Андрха-Прадеш, но его данные также могли быть украдены и маловероятно, что он — наш хакер.
Хоть и Sucuri не первыми заметили странное поведение плагина, но, в отличие от его пользователей, они поняли, что файл auto-update.php является бэкдором, а не простой уязвимостью в безопасности плагина.
Администраторы WordPress с установленным CCTM должны немедленно удалить его и откатить основные файлы WordPress до их стандартных версий. Если же приложение CCTM вам необходимо, то используйте его последнюю стабильную версию 0.9.8.6 (версия 0.9.8.7 имеет уязвимости).
Также обратите внимание на то, что уже вышла версия 0.9.8.9 CCTM, не содержащая в себе вредоносного кода и идентичная версии 0.9.8.6.
Автор: ragequit
