Membeli plugin populer dengan basis pengguna yang besar dan menggunakannya untuk kampanye berbahaya telah menjadi tren baru bagi aktor jahat. Salah satu dilakukan oleh pengembang BestWebSoft yang menjual plugin Captcha WordPress populer ke pembeli yang tidak diungkapkan, dan kedapatan telah memodifikasi plugin untuk mendownload dan menginstal backdoor tersembunyi.


Dalam sebuah posting blog yang diterbitkan, perusahaan keamanan WordFence mengungkapkan WordPress baru-baru ini mengeluarkan plugin Captcha yang populer dengan lebih dari 300.000 instalasi aktif dari toko plugin resminya.

Saat meninjau kode sumber plugin Captcha, orang-orang WordFence menemukan backdoor yang parah yang memungkinkan penyerang mendapatkan akses administratif ke situs WordPress tanpa memerlukan otentikasi.Plugin ini dikonfigurasi untuk secara otomatis menarik "backdoor" dari URL https[://]simplywordpress[dot]net/captcha/captcha_pro_update.php - setelah penginstalan dari repositori WordPress resmi tanpa persetujuan admin situs.

Kode backdoor ini dirancang untuk membuat sesi login bagi penyerang dengan mendapatkan hak istimewa administratif dan memungkinkan mereka mendapatkan akses ke salah satu dari 300.000 situs web (menggunakan plugin ini) dari jarak jauh tanpa memerlukan otentikasi apapun.

    "Backdoor ini menciptakan sesi dengan ID pengguna 1 (pengguna admin default yang dibuat WordPress saat Anda menginstalnya), memodifikasi cookies autentikasi, dan kemudian menghapusnya sendiri '" seperti diinformasikan blog WordFence. "Kode instalasi backdoor tidak terauthentikasi, artinya siapapun bisa memicunya."

Selain itu, kode yang dimodifikasi dari server hampir sama dengan kode di repositori plugin yang sah, oleh karena itu "memicu proses pembaruan otomatis yang sama akan menghapus semua jejak sistem berkas dari backdoor," membuatnya terlihat seolah-olah tidak pernah ada dan membantu penyerang menghindari deteksi.

Alasan di balik penambahan backdoor tidak jelas pada saat ini, namun jika seseorang membayar jumlah yang bagus untuk membeli plugin populer dengan basis pengguna yang besar, pasti ada motif yang kuat. WordFence telah bekerja sama dengan WordPress untuk menambal versi Captcha yang terkena dampak dan memblokir pengembang untuk menerbitkan pembaruan, sehingga administrator situs sangat dianjurkan untuk mengganti plugin mereka dengan Captcha versi terbaru 4.4.5.

WordFence telah berjanji untuk merilis detil teknis mendalam tentang bagaimana instalasi dan eksekusi backdoor bekerja, bersamaan dengan proof-of-concept exploit setelah 30 hari sehingga admin mendapatkan cukup waktu untuk menambal situs mereka.
 
Top