کشف Backdoor در پلاگین کپچای وردپرس
خرید افزونه های محبوب با یک پایگاه کاربری بزرگ و استفاده از آن ها برای کمپین های مخرب تبدیل به یک روند جدید برای هکرها شده است است.
یکی از این موارد که اخیراً اتفاق افتاد زمانی بود که یکی از توسعه دهنده های معروف یکی از مشهورترین افزونه های captcha ورد پرس را به یک خریدار نامعلوم فروخت. خریدار افزونه را به گونه ای تغییر داد که یک در پشتی مخفی را نصب و دانلود کند.
در پست وبلاگی که در روز سه شنبه منتشر شد، شرکت امنیت WordFence نشان داد که چرا به تازگی وردپرس یک افزونه محبوب Captcha با بیش از ۳۰۰،۰۰۰ نصب فعال را از فروشگاه افزونه رسمی خود برداشت.
در زمان بررسی کد اصلی افزونه captcha ، کارمندان WordFence یک در پشتی یافتند که این اجازه را به نویسنده یا مهاجمان captcha می دهد که از راه دور به صورت کاربر مدیر به وب سایت های وردپرس بدون نیاز به احراز هویت دسترسی پیدا کنند.
افزونه به گونه ای تنظیم شده بود که پس از نصب از پایگاه رسمی وردپرس، به صورت خودکار و بدون اجازه کاربر مدیر، نسخه حاوی در پشتی از یک URL ثانوی را بار گزاری می کرد.
این در پشتی به این منظور طراحی شده بود که بتواند یک Session ورود برای مهاجم ، که در اینجا همان نویسنده افزونه است، با دسترسی سطح مدیر ایجاد کند تا به مهاجم امکان دسترسی به همه ی ۳۰۰۰۰۰ وب سایتی بدون هیچ گونه احراز هویتی بدهد.
WordFence می گوید "این در پشتی یک session با شناسه کاربری ۱ ایجاد می کند (همان کاربر پیش فرض admin است که در اولین نصب WordPress ایجاد می کند) ، سپس کوکی های احراز هویت را تنظیم می کند و خود را حذف می کند. کد نصب این در پشتی احراز هویت نمی شود و این بدین معناست که هر کسی می تواند آن را فعال کند."
همچنین، کد اصلاح شده که از سرور ثانویه بار گزاری شده است تقریبا با کد افزونه در سایت رسمی افزونه یکسان است، بنابراین فعال کردن پروسه به روز رسانی خودکار سبب می شود که ردپای تمام فایل های سیستمی در پشتی حذف گردد و به گونه ای به نظر رسد که انگار اصلا از قبل وجود نداشته است و از این طریق به عدم شناسایی مهاجم کمک کند.
دلیل اضافه کردن Backdoor تا این لحظه مشخص نیست، اما اگر کسی مقدار قابل توجهی برای خرید یک افزونه محبوب با یک پایگاه کاربری بزرگ پرداخت کرده است، باید یک هدف مهم را دنبال کند.
در موارد مشابه، ما دیده ایم که چگونه باندهای سایبری سازماندهی شده ، افزونه های محبوب و برنامه های کاربردی را خریداری می کنند تا مخفیانه پایگاه های کاربری بزرگ را با نرم افزارهای مخرب، ابزارهای تبلیغاتی و جاسوسی خود آلوده کنند.
هم زمان با بررسی هویت اصلی خریدار افزونه Captcha ، محققان WordFence دریافتند که دامنه ی simplywordpress[dot]net که سرویس دهنده ی درب پشتی است به اسم فردی به نام "Stacy Wellington" با ایمیل "scwellington[at]hotmail.co.uk." ثبت شده است.
محققان با استفاده از تکنیک جست و جوی معکوس whois تعداد زیادی از دامنه ها را یافتند که به نام همان کاربر ثبت شده بود.
نکته ی جالب این است که تمام دامنه های خریداری شده تحت نام کاربری گفته شده مشترکاً حاوی کد در پشتی بودند که محققان WordFence در Captcha یافتند.
WordFence با WordPress همکاری کرده است تا نسخه آسیب پذیری Captcha را وصله کند و مهاجم را برای انتشار به روز رسانی ها مسدود کند، بنابراین به مدیران وب سایت ها به شدت توصیه می می شود که افزونه خود را به آخرین نسخه رسمی Captcha نسخه ۴.۴.۵ به روز رسانی کنند.
WordFence وعده داده است که جزئیات فنی دقیق در مورد نحوه کار ، نصب و اجرای در پشتی را پس از ۳۰ روز منتشر کند تا مدیران زمان کافی برای پچ کردن وب سایت های خود را داشته باشند.
منبع: https://thehackernews.com/2017/12/wordpress-security-plugin.html
