В конце октября 2016 года специалисты компании White Fir Design предупредили о странном и потенциально опасном коде, который был обнаружен в составе сразу 14 плагинов для WordPress. Исследователи предположили, что данный код был внедрен в плагины с вредоносными целями, так как, по сути, являлся бэкдором и позволял злоумышленникам удаленно выполнить произвольный код на уязвимом сайте.
Тогда исследователи White Fir Design сумели связали 14 плагинов с публикацией гонконгского веб-разработчика Томаса Хамбаха (Thomas Hambach), датированной 2014 годом. Дело в том, что Хамбах первым обнаружил этот вредоносный код и объяснял, что атакующие используют его для внедрения на сайты спамерских SEO-ссылок, а также для передачи различных данных о скомпрометированном ресурсе.
Разработчики WordPress еще в 2014 году проверили выводы Хамбаха, провели собственное расследование и в итоге удалили все 14 плагинов из официального репозитория WordPress Plugin Directory. Невзирая на это, в 2015 и 2016 годах специалисты White Fir Design продолжали фиксировать многочисленные запросы, исходящие с разных IP-адресов и обращенные с плагинам с бэкдорами.
Теперь данная проблема снова привлекла внимание специалистов, так как с недавнего времени в WordPress Plugin Directory появилась возможность просматривать страницы абсолютно всех плагинов, включая удаленные (для них просто отсутствует кнопка «Скачать»). Стало очевидно, что плагины с бекдорами до сих пор используют сотни сайтов.
Название плагина | Количество активных установок |
return-to-top | 50+ |
page-google-maps | 500+ |
gallery-slider | 300+ |
g-translate | 60+ |
share-buttons-wp | 200+ |
mailchimp-integration | менее 10 |
smart-videos | 70+ |
seo-rotator-for-images | 70+ |
ads-widget | 40+ |
seo-keyword-page | 200+ |
wp-handy-lightbox | 500+ |
wp-popup | менее 10 |
google-analytics-analyze | 70+ |
cookie-eu | менее 10 |
Еще год назад ИБ-специалисты предложили разработчикам WordPress оповестить владельцев этих сайтов напрямую, уведомив их, что плагины были исключены из официального репозитория из-за серьезных проблем с безопасностью. Однако разработчики сходу отмели эту идею, заметив, что если для проблемы уже существует эксплоит, то обнародование информации об уязвимости, без выпуска патча, никак не поможет, а только навредит уязвимым сайтам, подвергнув их еще большей опасности, так как атак станет заметно больше.
Многие специалисты не согласились с такой аргументацией и сочли, что в таком случае разработчики WordPress должны вмешаться в происходящее, принудительно удалив опасные плагины с использующих их сайтов.
Теперь, год спустя, команда разработки WordPress, похоже, решила прислушаться к советами ИБ-экспертов. Так, на прошлой неделе был обнаружен плагин с бэкдором, установленный на 300 000 сайтов, и разработчики принудительно заменили вредоносную версию плагина на «чистую». Вероятно, теперь такая же судьба постигнет и вышеперечисленные 14 плагинов с бэкдорами. Но пока этого не произошло, владельцам сайтов рекомендуется провести аудит своих ресурсов, заменив или удалив устаревшие или небезопасные плагины новыми и защищенными.