Backdoor v pluginu Custom Content Type Manager byl přímo v aktualizaci

Většinou aktualizace pluginů obsahují nové funkce a záplaty bezpečnostních zranitelností. Ovšem u pluginu Custom Content Type Manager (CCTM) se rozhodl jeho nový majitel přidat do něj backdoor.

CCTM používá více jak 10 tisíc instalací WordPress. Přes deset měsíců jej jeho tvůrce neaktualizovat. Pak se v logu úprav objevilo, že změnil vlastníka. Ten provedl několik změn, včetně přidání backdoor. Každý kdo si jej automaticky aktualizoval na verzi 0.9.8.7 a 0.9.8.8 s tím nemohl nic udělat. Vlastně to neměl ani jak zjistit.

Na problém upozornili bezpečnostní odborníci ze Securi, poté co řešili napadení jednoho webu. Zjistili že v adresáři s pluginu CCTM se nachází podezřelí soubor auto-update.php. Na první pohled to vypadalo na klasické napadení, kde si jen útočník vybral pro umístění malware plugin CCTM. Při porovnání souborů CCTM napadeného WordPress a originálu v repositáři WordPress.org zjistili, že jsou totožné.

V současné době už je plugin bezpečný (verze 0.9.8.9). Správu pluginu přebral úplně nový člověk a ten provedl nápravu. Všechen škodlivý kód z něj byl odstraněn a nejnovější aktualizace je v podstatě návrat k verzi 0.9.8.6. Ovšem každý kdo si jej aktualizoval na jednu ze závadných verzí, tak je důrazně nabádán ať si změní heslo a provede kompletní obnovu ze zálohy. V diskuzi u pluginu se objevilo i několik svědectví o napadené v důsledku backdoor. Útočník si vytvořil účet s administrátorským oprávněním a ten využil k ovládnutí instalace WordPress.

Proč plugin změnil majitele se doposud neví. Mohlo to být dobrovolně anebo se mu prostě někdo dostal do účtu. V každém případě dva týdny byl v oběhu plugin s backdoor, který si jeho uživatelé stahovali přímo z wordpress.org. Není také žádným tajemstvím, že o pluginy, které mají větší počet stažení se zajímají další lidé, kteří za ně nabízejí peníze. Uvidíme, třeba se časem dozvíme jak to bylo.

Možná si říkáte, že tomuto se vůbec nijak nedá zabránit, tedy pokud nehodláte procházet změny u každé aktualizace pluginu. Můžete se ale na podobné problémy připravit. Základem je určitě pravidelné zálohování. Dále se vyplatí sledovat, co se s pluginem děje. Pokud se nejedná o bezpečnostní záplaty, můžete klidně pár dnů posečkat jestli někdo nenahlásí nějaký problém. I když u tohoto pluginu to trvalo dva týdny.

https://blog.sucuri.net/2016/03/when-wordpress-plugin-goes-bad.html

Share Button

Tento článek byl byl přečten 2877 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *