Сотни сайтов на WordPress используют плагины с бэкдорами, обнаруженными три года назад

В конце октября 2016 года специалисты компании White Fir Design предупредили о странном и потенциально опасном коде, который был обнаружен в составе сразу 14 плагинов для WordPress. Исследователи предположили, что данный код был внедрен в плагины с вредоносными целями, так как, по сути, являлся бэкдором и позволял злоумышленникам удаленно выполнить произвольный код на уязвимом сайте.

Тогда исследователи White Fir Design сумели связали 14 плагинов с публикацией гонконгского веб-разработчика Томаса Хамбаха (Thomas Hambach), датированной 2014 годом. Дело в том, что Хамбах первым обнаружил этот вредоносный код и объяснял, что атакующие используют его для внедрения на сайты спамерских SEO-ссылок, а также для передачи различных данных о скомпрометированном ресурсе.

Разработчики WordPress еще в 2014 году проверили выводы Хамбаха, провели собственное расследование и в итоге удалили все 14 плагинов из официального репозитория WordPress Plugin Directory. Невзирая на это, в 2015 и 2016 годах специалисты White Fir Design продолжали фиксировать многочисленные запросы, исходящие с разных IP-адресов и обращенные с плагинам с бэкдорами.

Теперь данная проблема снова привлекла внимание специалистов, так как с недавнего времени в WordPress Plugin Directory появилась возможность просматривать страницы абсолютно всех плагинов, включая удаленные (для них просто отсутствует кнопка «Скачать»). Стало очевидно, что плагины с бекдорами до сих пор используют сотни сайтов.

Название плагинаКоличество активных установок
return-to-top50+
 page-google-maps500+
gallery-slider300+
g-translate60+
share-buttons-wp200+
mailchimp-integrationменее 10
smart-videos70+
seo-rotator-for-images70+
ads-widget40+
seo-keyword-page200+
wp-handy-lightbox500+
wp-popupменее 10
google-analytics-analyze70+
cookie-euменее 10

 

Еще год назад ИБ-специалисты предложили разработчикам WordPress оповестить владельцев этих сайтов напрямую, уведомив их, что плагины были исключены из официального репозитория из-за серьезных проблем с безопасностью. Однако разработчики сходу отмели эту идею, заметив, что если для проблемы уже существует эксплоит, то обнародование информации об уязвимости, без выпуска патча, никак не поможет, а только навредит уязвимым сайтам, подвергнув их еще большей опасности, так как атак станет заметно больше.

Многие специалисты не согласились с такой аргументацией и сочли, что в таком случае разработчики WordPress должны вмешаться в происходящее, принудительно удалив опасные плагины с использующих их сайтов.

Теперь, год спустя, команда разработки WordPress, похоже, решила прислушаться к советами ИБ-экспертов. Так, на прошлой неделе был обнаружен плагин с бэкдором, установленный на 300 000 сайтов, и разработчики принудительно заменили вредоносную версию плагина на «чистую». Вероятно, теперь такая же судьба постигнет и вышеперечисленные 14 плагинов с бэкдорами. Но пока этого не произошло, владельцам сайтов рекомендуется провести аудит своих ресурсов, заменив или удалив устаревшие или небезопасные плагины новыми и защищенными.

Leave a Reply

Your email address will not be published.