03067 г. Киев
бульвар Вацлава Гавела, 4
+38 (044) 333 65 51
+38 (067) 333 65 51
[email protected]
[email protected]

Найдены плагины WordPress, позволяющие распространять вредоносный код

После ряда инцидентов, из каталога плагинов WordPress был удален Display Widgets. В новых версиях плагина постоянно присутствовал бэкдор, позволяющий контролировать контент сайта, использующего плагин и размещать свою рекламу. Рекомендуется не использовать в дальнейшем ветку 2.6.x этого плагина.
После того, как плагин был продан другому владельцу, начались проблемы. Через месяц после этого была выпущена версия плагина 2.6.0 с поддержкой определения местоположения через базу GeoIP.
Администраторы каталога плагинов WordPress получили жалобу уже на следующий день после релиза. Плагин загружал около 40 Мб данных с информацией о привязке IP-адресов от такой компании как Maxmind. Через неделю после удаления плагина из каталога, было выпущено обновление с устраненной проблемой. Базу GeoIP добавили в поставку плагина через файл geolocation.php.
Вскоре было найдено еще одно нарушение, касающееся конфиденциальности пользователей и осуществлялось путем передачи сведений на внешний сервер. Плагин был заблокирован во второй раз. Вскоре было выпущено обновление 2.6.2, в котором была возможность отключать отправку логов (активирована по-умолчанию).
Плагин был восстановлен, но спустя почти месяц снова поступили жалобы на спам на сайтах с установленным Display Widgets. В этот раз причиной стал файл geolocation.php, в котором присутствовал бэкдор. Он позволял делать публикации на сайтах пользователей плагина, удалять и редактировать содержимое веб-страниц. Измененный контент не был виден администраторам и зарегистрированным пользователям, но его могли видеть все остальные. Данным контентом являлась сторонняя реклама. После этого инцидента, дополнение также было заблокировано.
Жалобы после релиза версии 2.6.3 не заставили себя долго ждать. В этот раз вопрос вновь касался спама. Разработчики дополнения советовали почистить кэш браузера, обновить плагин и почистить таблиц wp_options. Разработчики вводили пользователей плагина в заблуждение говоря, что причиной спама может быть использование других дополнений в сочетание с включенной функцией геолокации, что дает возможность проявлению уязвимости.
В конечном итоге в обновленной версии обнаружили очередной бэкдор и плагин уже в четвертый раз был заблокирован. Для пользователей сформировали обновление 2.7.0. Также сделали откат до последней версии кодовой базы 2.0.5, которая была до продажи.
Дополнение Display Widgets было продано Мэйсону Сойза, представляющий компанию WP Devs, которая, по заявлению, владеет 34 плагинами и охватом аудитории свыше 10 млн. пользователей — комментирует Стефани Велс, изначальный владелец плагина. Что интересно, подобные инциденты со спамом уже происходили с другим купленным плагином “404 to 301”. Также были планы о покупке плагина Finance Calculator, но владелец отменил сделку, когда услышал об истории с Display Widgets. Есть также часть списка хостов, с которых происходила загрузка вредоносного кода: maxmind.io, w-p.io, stopspam.io, geoip2.io. Информация по остальным покупкам плагинов пока неизвестна.

Share

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *