|
Специалисти по информационна сигурност алармираха за появата на бекдор характеристика в популярен плъгин за Wordpress, която краде данни на администратори на интернет ресурси.Става дума за Custom Content Type Manager (CCTM) с помощта, на който управляващите ресурси на основата на популярната платформа за управление на съдържанието могат да създават свои собствени полета и форми. На сайта на плъгина авторите му посочват, че плъгинът има над 10 000 активни инсталации.Самият плъгин е с тригодишна история и има положителни оценки от потребителите на WP, но преди около три седмици човек, който се представя за новия администратор на CCTM осъществява промени в плъгина, посредством които в него се вмъкват функционалности, позволяващи кражба на авторизационни данни на управляващия уеб ресурси, а с това и хакването/кражбата на сайт. Денис Синегубко от Succuri, компанията разкрила измамата, съобщава, че проблемът се крие в наскоро добавен файл в плъгина с името auto-update.php, който представлява бекдор, който сваля файлове от съмнителен сайт (wordpresscore .com). Въпросният файл е бил добавен на 18.02. от някой с псевдоним wooranker, който е бил включен като доброволец в списъка с екипа, работещ по плъгина само няколко дни по-рано. На 19.02.2016г. във версия 0.9.8.8 е бил добавен файл с името /includes/CCTM_Communicator.php, заедно с нов код към index.php, който изпраща информация за сайта и собственика му към сървъра на wordpressceore.Посредством изменение на ключови файлове в WordPress, атакуващата страна успява да получи под формата на открит текст не само паролата на администратора, но и на всеки потребител при влизането му в сайта. Освен това, посредством инструкциите в добавения код, атакуващата страна успява да създаде нов потребител с име support и поща за контакт email support@wordpresscore .com, който има администраторски права.Относно това как е започнал пробивът, от Sucurri предполагат, че въпросният wooranker е успял да открадне акаунта на истинския създател на плъгина fireproofsocks, представяйки се за нов собственик.Нещата обаче вече са оправени и fireproofsocks е поел контрол над акаунта си, като издава през почивните дни и нова версия на CCTM - 0.9.8.9, в която е премахната зловредната функционалност. Администраторите на WP ресурси, които са използвали уязвимата версия е нужно да обновят плъгина до последната версия и да последват съветите, които Succuri дават на страниците на блога си. |
|
