В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор.
В плагине Captcha к системе управления контентом WordPress, который насчитывает более 300 тысяч активных установок, выявлен бэкдор, предоставляющий доступ с правами администратора. После установки обновления бэкдором создаётся идентификатор сеанса с правами администратора, настраиваются связанные с ним аутентификационные cookie и производится чистка вредоносных вставок из исходных текстов для удаления следов вредоносного кода.
Случай с Captcha является продолжением сентябрьской истории с появлением бэкдора в плагине "Display Widgets". Captcha также был продан Мэйсону Сойза (Mason Soiza) и новый владелец, выждав три месяца, выпустил обновление 4.3.6, в котором среди накопившихся исправлений был интегрирован вредоносный код.
Метод интеграции вредоносного кода в Captcha отличается от случая с дополнением "Display Widgets" иным методом заметания следов - в код Captcha была добавлена вставка для загрузки стороннего пакета обновлений в обход официального каталога WordPress.org, что является грубейшим нарушением правил. Обновление запрашивалось с внешней страницы simplywordpress.net/captcha/captcha_pro_update...., которая передавала код для скрытой модификации БД, который после своего выполнения удалялся. После изменения БД любой сторонний злоумышленник получал возможность доступа к сайту с правами администратора (ID 1) через установку предопределённой сессионной Cookie.
Примечательно, что бэкдор был выявлен не после жалоб пользователей или анализа кода, а в результате случайного стечения обстоятельств - плагин был заблокирован из-за ненадлежащего использования торговой марки wordpress в имени нового разработчика плагина (Simplywordpress). Удаление привлекло внимание исследователей безопасности из компании Wordfence, которые решили провести аудит кода плагина и не ошиблись, сразу натолкнувшись на вредоносный код.
Представители Wordfence сообщили о находке администрации WordPress.org, которая инициировала доставку внештатного обновления Captcha 4.4.5, в котором откатила все изменения, предложенные новыми владельцами в выпусках с 4.3.6 по 4.4.4. Кроме того, была заблокирована возможность размещения обновлений без прохождения ручного рецензирования для Captcha и пяти других плагинов того же автора (Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange).
В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор