Había un Backdoor en WordPress en Plugin con más de 200.000 instalaciones

Logo de WordPress

Durante los últimos dos meses y medio, se ha utilizado un complemento de WordPress llamado Widgets de visualización para instalar una puerta trasera en sitios de WordPress a través de Internet.

El código de puerta trasera se encontró entre Widgets de pantalla versión 2.6.1 (publicado el 30 de junio) y versión 2.6.3 (publicado el 2 de septiembre).

El equipo de WordPress.org ha intervenido y eliminado el complemento del repositorio oficial de WordPress Plugins. En el momento en que se eliminó, el complemento se instaló en más de 200.000 sitios, aunque no podemos estar seguros de cuántos de ellos se actualizaron a una versión que incluía el comportamiento malicioso.

Más sorprendente es que los miembros del personal de WordPress.org eliminaron el complemento tres veces antes para violaciones similares. Una historia de los acontecimientos se compila a continuación, junto con los datos agregados de tres investigaciones diferentes por David Law , White Fir Design y Wordfence .

Plugin vendido a nuevo desarrollador en mayo

Los widgets de visualización originales son un complemento que permite a los propietarios de sitios de WordPress controlar qué, cómo y cuándo aparecen widgets de WordPress en sus sitios.

Stephanie Wells de Strategy11 desarrolló el plugin, pero después de cambiar su enfoque a una versión premium del plugin, decidió vender la versión de código abierto a un nuevo desarrollador que hubiera tenido tiempo de atender a su base de usuarios.

Un mes después de comprar el complemento en mayo, su nuevo propietario publicó una primera versión nueva – v2.6.0 – el 21 de junio.

Primer desmontaje
Un día después, David Law, consultor de SEO y autor de un plugin competitivo llamado Widgets de Visualización SEO Plus, envió un correo electrónico al equipo de WordPress.org informándoles que la versión 2.6.0 estaba rompiendo las reglas de plugin de WordPress descargando más de 38MB de código desde un servidor de terceros.

De acuerdo con Law, este código de 38MB contenía características de seguimiento que registraban el tráfico en sitios web usando los widgets de pantalla 2.6.0. El código extra estaba recopilando datos como direcciones IP de usuario, cadenas de agente de usuario, el dominio donde se recopilaron los datos y la página que el usuario estaba viendo. El complemento también estaba enviando esta información a un servidor de terceros.

Otros usuarios también detectaron este comportamiento y reportaron el problema a través del foro de soporte del plugin en WordPress.org.

Siguiendo el informe de Law, el equipo de WordPress.org eliminó el plugin del repositorio de WordPress Plugins al día siguiente.

Segunda retirada
Una semana más tarde, el 1 de julio, el nuevo autor del plugin logró restablecer el complemento y lanzar una nueva versión – v2.6.1. Esta versión integra el archivo de 38MB (geolocation.php) dentro del plugin, para evitar quebrar las reglas de WordPress.org que dicen que los plugins no pueden descargar código de servidores de terceros.

Law, que ya estaba vigilando el plugin, contactó nuevamente al personal de WordPress.org sobre el complemento. Esta vez, informó que el complemento estaba ahora con una puerta trasera maliciosa que permitía al propietario del complemento conectarse a sitios remotos y crear nuevas páginas o publicaciones. La característica de registro de tráfico del usuario también estaba presente.

Un día después, el plugin fue removido del repositorio oficial de WordPress Plugins por segunda vez en una semana.

Tercer desmontaje
El nuevo autor del plugin intentó nuevamente su suerte sin ser perturbado por todos los derribos. De acuerdo con un plugin changelog, el nuevo autor publicó la versión 2.6.2 en el repositorio de WordPress Plugins el 6 de julio.

Durante unos días, el complemento parece haber detenido todo comportamiento malicioso. Lamentablemente, esto no duró. El 23 de julio, un usuario llamado Calvin Ngan presentó quejas [ 1 , 2 ] con el personal de WordPress, acusando al plugin de “[crear] páginas no detectadas [sic] con enlaces spam”.

Al igual que Law hizo antes, Ngan dice que rastreó el comportamiento malicioso en el archivo geolocation.php, añadido por el nuevo autor del complemento en la versión 2.6.1.

Los investigadores descubrieron que esta versión estaba creando nuevas páginas donde insertó enlaces a otros sitios. Estas páginas y publicaciones de blog no aparecen en el panel de administración del servidor. Además, el plugin también ocultó estas páginas spammy de usuarios conectados (normalmente los administradores del sitio). Solamente usuarios registrados – visitantes normales del sitio – se mostraron estas nuevas páginas.

Para crear estos mensajes secretos, el complemento contactó a un dominio remoto desde donde recuperó el contenido que se suponía que debía insertar en la página. Wordfence ha rastreado el complemento en contacto con los siguientes dominios, todos alojados en el mismo servidor en 52.173.202.113:

 

Un día después del informe de Ngan, el equipo de WordPress eliminó el complemento de Widgets de pantalla del sitio oficial por tercera vez.

Cuarta eliminación
Una vez más, los nuevos autores no se dieron por vencidos. El 2 de septiembre suben la versión 2.6.3 al repositorio de WordPress.

y he aquí, esta versión también era maliciosa porque el 7 de septiembre, otro usuario se quejó una vez más sobre el complemento insertando enlaces spam en su sitio.

En dos respuestas [ 1 , 2 ] publicadas en el tema de soporte del complemento, dos personas que publicaban desde la cuenta oficial del plugin intentaron minimizar el incidente, alegando que sus sitios fueron hackeados porque cuando los usuarios combinaban el código geolocation.php con otros complementos, sitios de explotación.

Desafortunadamente la adición de la localización de GEO hizo el software vulnerable a un exploit si está utilizado conjuntamente con otros enchufes populares.

La última actualización corrigió y sanificó la vulnerabilidad. Un simple vacío de la memoria caché y borrado de la tabla wp_options (si está afectado) debería eliminar esa publicación
.

Plugin eliminado para siempre

El plugin fue removido una vez más del repositorio Plugins de WordPress.org el 8 de septiembre, por cuarta vez. Esta vez, la eliminación parece ser permanente.

El personal de WordPress.org parece haber tomado el plugin y ha lanzado la versión 2.7.0 que incluye el mismo código exacto de la versión 2.0.5, la última versión limpia del complemento, antes de que se vendiera a un nuevo propietario.

El plugin ya no está disponible en el sitio oficial de WordPress.org, lo que significa que no está disponible para las nuevas instalaciones, pero la actualización aparecerá en los backends de los sitios de WordPress donde el complemento todavía está instalado.

Plugin comprado por una empresa especializada en la compra de plugins antiguos
El equipo de Wordfence, liderado por su CEO Mark Maunder, también ha invertido algún tiempo en rastrear quién estaba detrás de los ataques de puerta trasera.

Maunder dice que rastreó el nuevo comprador del plugin a un servicio llamado WP Devs . Como afirma el sitio de la empresa en su página de inicio, son un servicio que compra plugins antiguos y abandonados, actualmente en posesión de otros 34 plugins.

Sitio web de WP Devs

Según la investigación de Maunder, WP Devs parece estar dirigido por dos personas, una de Estados Unidos y una que cree que tiene su sede en Rusia.

Maunder también contactó con uno de los propietarios de WP Devs, quien afirmó que compró el plugin por 15.000 dólares y más tarde lo revendió por 20.000 dólares a una compañía en California que lo obligó a firmar un acuerdo de no divulgación (NDA) que ahora le impide diciendo más. No está claro si el portavoz de WP Devs estaba diciendo la verdad, en el momento de escribir.

Maunder también señala que quienquiera que estuviera detrás de las cuatro versiones maliciosas de Widgets de Pantalla insertó intencionalmente el código de puerta trasera y esto no parece ser el caso en el que alguien copió el código malicioso de otro proyecto por accidente.

Basa su suposición en el hecho de que la versión 2.6.3 (la última versión maliciosa) también incluyó un bugfix en el código de puerta trasera, lo que significa que el nuevo autor del plugin sabía exactamente lo que estaba haciendo.

Los empleados de WordPress.org están siendo llamados

El CEO de Wordfence también pidió a la comunidad de WordPress que fuera amable y comprensivo con el personal de WordPress con respecto a este incidente reciente, a pesar de que el comportamiento malicioso se descubrió cuatro veces en el mismo complemento.

“Tenga en cuenta que muchos de los moderadores del foro y los mantenedores de repositorios de plugins son voluntarios”, dice Maunder. “Por favor, no los juzgues con dureza; en general, hacen un buen trabajo para mantener un sistema de foro de soporte y soporte muy grande para el CMS más popular del mundo”.

Por otro lado, White Fir Design y David Law no lo ven así. Ley, especialmente, ya que fue amonestado por un moderador de WordPress que cerró uno de sus informes sobre la base de “no estar bien para ir a ese foro de soporte de otro plugin y especular de esa manera”.

Los representantes de White Fir Design, que ejecutan el blog de Vulnerabilidades de Plugin, también quisieran ver a WordPress simplificar el proceso de reportar problemas de seguridad y algunas cuentas en el lado de los mantenedores de WordPress.org.

“Lo que esta situación realmente requiere es una explicación completa de lo que pasó en el lado de WordPress, porque los bits y piezas que tenemos hasta ahora parecen indicar que las cosas salieron muy mal”, dijo el equipo de White Fir Design. “Sin saber que salió mal, parece improbable que los problemas se arreglen, de modo que cuando otro plugin sea asumido por alguien con intención maliciosa el daño causado no continúa como lo hizo con esto durante varios meses”.

UPDATE [13 de septiembre, 16:55 ET]: Los investigadores de Wordfence han seguido cavando en los nuevos propietarios del complemento de widgets de visualización, y creen haber identificado a la persona detrás del complemento . Ellos dicen que él es la misma persona detrás del secuestro del complemento WordPress de 404 a 301 , también usado para mostrar enlaces de spam y contenido en sitios de terceros sin el conocimiento de sus propietarios.

 

MUY IMPORTANTE EL REVISAR QUE ACTUALMENTE SE ESTE UTILIZANDO LA VERSION 4.8.1 DE WORD PRESS DEL 18/9/2017.

 

saludos

ms, 18-9-2017