WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Backdoor ẩn trong plugin WordPress Captcha ảnh hưởng hơn 300.000 website
Mua những plugin phổ biến có số lượng người dùng lớn và sử dụng chúng cho các chiến dịch độc hại đang là xu hướng mới của hacker.
Gần đây, hãng BestWebSoft bán một plugin WordPress Captcha phổ biến cho một người mua không rõ danh tính, người này sau đó đã sửa đổi plugin để tải xuống và cài đặt một backdoor ẩn.
Trong một bài blog đăng ngày 19/12, công ty an ninh WordFence tiết lộ lý do tại sao WordPress gần đây đã loại một plugin Captcha nổi tiếng với hơn 300.000 lượt cài đặt ra khỏi kho plugin chính thức của mình.
Trong khi xem xét mã nguồn của plugin Captcha, WordFence đã tìm thấy một backdoor nguy hiểm có thể cho phép tác giả plugin hoặc kẻ tấn công truy cập từ xa vào các trang web WordPress mà không có yêu cầu xác thực.
Plugin đã được cấu hình để tự động kéo phiên bản "backdoored" đã cập nhật từ một URL từ xa - https [: //] simplywordpress [dot] net /captcha/captcha_pro_update.php - sau khi cài đặt từ kho Wordpress chính thức mà không cần sự đồng ý của quản trị trang web.
Backdoor này được thiết kế để tạo phiên đăng nhập cho hacker với quyền quản trị, cho phép truy cập vào bất kỳ trang nào trong 300.000 website (sử dụng plugin này) từ xa mà không yêu cầu xác thực.
“Backdoor này tạo ra một phiên đăng nhập với ID người dùng 1 (người dùng quản trị mặc định mà WordPress tạo ra khi bạn cài đặt lần đầu tiên), đặt cookie xác thực và sau đó xóa chính nó”, WordFence cho biết. “Mã cài đặt backdoor chưa được xác thực, có nghĩa là bất cứ ai cũng có thể kích hoạt nó”.
Ngoài ra, mã sửa đổi được lấy từ máy chủ từ xa hầu như giống hệt mã trong kho plugin hợp pháp, do đó "việc kích hoạt quá trình cập nhật tự động sẽ loại bỏ tất cả các dấu vết trên hệ thống tập tin của backdoor", làm cho nó giống như chưa bao giờ tồn tại và giúp hacker tránh bị phát hiện.
Lý do backdoor được đưa vào plugin là chưa rõ ràng, nhưng nếu ai đó trả một khoản tiền khá lớn để mua một plugin phổ biến với một nền tảng người sử dụng lớn thì chắc chắn người đó phải có ý đồ.
Trong các trường hợp tương tự, chúng ta đã thấy các nhóm hacker có tổ chức tìm kiếm các plugin và ứng dụng phổ biến, sau đó âm thầm tấn công một số lượng người dùng lớn bằng mã độc, adware hay spyware.
Khi điều tra danh tính của người mua plugin Captcha, các nhà nghiên cứu của WordFence đã phát hiện ra rằng tên miền simplywordpress[dot]net đang chứa file backdoor đã được đăng ký cho một người có tên là "Stacy Wellington" bằng địa chỉ email "scwellington [at] hotmail.co.uk".
Tra cứu whois, các nhà nghiên cứu đã tìm thấy một số lượng lớn các domain khác đã đăng ký với cùng một người dùng, bao gồm Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha và Social Exchange.
Đáng chú ý là tất cả các tên miền nói trên được đặt mua dưới tên một người dùng chứa mã nguồn backdoor giống như các nhà nghiên cứu của WordFence tìm thấy trong Captcha.
WordFence đã hợp tác với WordPress để vá phiên bản plugin Captcha bị ảnh hưởng và chặn hacker khỏi việc phát hành bản cập nhật, vì vậy các quản trị viên trang web được khuyến khích thay thế plugin của họ bằng phiên bản Captcha chính thức mới nhất là 4.4.5.
Gần đây, hãng BestWebSoft bán một plugin WordPress Captcha phổ biến cho một người mua không rõ danh tính, người này sau đó đã sửa đổi plugin để tải xuống và cài đặt một backdoor ẩn.
Trong một bài blog đăng ngày 19/12, công ty an ninh WordFence tiết lộ lý do tại sao WordPress gần đây đã loại một plugin Captcha nổi tiếng với hơn 300.000 lượt cài đặt ra khỏi kho plugin chính thức của mình.
Trong khi xem xét mã nguồn của plugin Captcha, WordFence đã tìm thấy một backdoor nguy hiểm có thể cho phép tác giả plugin hoặc kẻ tấn công truy cập từ xa vào các trang web WordPress mà không có yêu cầu xác thực.
Plugin đã được cấu hình để tự động kéo phiên bản "backdoored" đã cập nhật từ một URL từ xa - https [: //] simplywordpress [dot] net /captcha/captcha_pro_update.php - sau khi cài đặt từ kho Wordpress chính thức mà không cần sự đồng ý của quản trị trang web.
Backdoor này được thiết kế để tạo phiên đăng nhập cho hacker với quyền quản trị, cho phép truy cập vào bất kỳ trang nào trong 300.000 website (sử dụng plugin này) từ xa mà không yêu cầu xác thực.
“Backdoor này tạo ra một phiên đăng nhập với ID người dùng 1 (người dùng quản trị mặc định mà WordPress tạo ra khi bạn cài đặt lần đầu tiên), đặt cookie xác thực và sau đó xóa chính nó”, WordFence cho biết. “Mã cài đặt backdoor chưa được xác thực, có nghĩa là bất cứ ai cũng có thể kích hoạt nó”.
Ngoài ra, mã sửa đổi được lấy từ máy chủ từ xa hầu như giống hệt mã trong kho plugin hợp pháp, do đó "việc kích hoạt quá trình cập nhật tự động sẽ loại bỏ tất cả các dấu vết trên hệ thống tập tin của backdoor", làm cho nó giống như chưa bao giờ tồn tại và giúp hacker tránh bị phát hiện.
Lý do backdoor được đưa vào plugin là chưa rõ ràng, nhưng nếu ai đó trả một khoản tiền khá lớn để mua một plugin phổ biến với một nền tảng người sử dụng lớn thì chắc chắn người đó phải có ý đồ.
Trong các trường hợp tương tự, chúng ta đã thấy các nhóm hacker có tổ chức tìm kiếm các plugin và ứng dụng phổ biến, sau đó âm thầm tấn công một số lượng người dùng lớn bằng mã độc, adware hay spyware.
Khi điều tra danh tính của người mua plugin Captcha, các nhà nghiên cứu của WordFence đã phát hiện ra rằng tên miền simplywordpress[dot]net đang chứa file backdoor đã được đăng ký cho một người có tên là "Stacy Wellington" bằng địa chỉ email "scwellington [at] hotmail.co.uk".
Tra cứu whois, các nhà nghiên cứu đã tìm thấy một số lượng lớn các domain khác đã đăng ký với cùng một người dùng, bao gồm Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha và Social Exchange.
Đáng chú ý là tất cả các tên miền nói trên được đặt mua dưới tên một người dùng chứa mã nguồn backdoor giống như các nhà nghiên cứu của WordFence tìm thấy trong Captcha.
WordFence đã hợp tác với WordPress để vá phiên bản plugin Captcha bị ảnh hưởng và chặn hacker khỏi việc phát hành bản cập nhật, vì vậy các quản trị viên trang web được khuyến khích thay thế plugin của họ bằng phiên bản Captcha chính thức mới nhất là 4.4.5.
Nguồn: The Hacker News