Το πρόσθετο Quick Page/Post Redirect, που εγκαταστάθηκε σε περισσότερους από 70.000 ιστότοπους WordPress, προστέθηκε πριν από πέντε χρόνια μια κερκόπορτα που επιτρέπει την εισαγωγή αυθαίρετου κώδικα στους ιστότοπους των χρηστών.
Το κακόβουλο λογισμικό αποκαλύφθηκε από τον Austin Ginder, τον ιδρυτή του πάροχου φιλοξενίας WordPress Anchor, ο οποίος το βρήκε αφού 12 μολυσμένοι ιστότοποι στον στόλο του προκάλεσαν ειδοποίηση ασφαλείας.
Η προσθήκη Quick Page/Post Redirect, διαθέσιμη στο WordPress.org εδώ και αρκετά χρόνια, είναι μια βασική βοηθητική προσθήκη που χρησιμοποιείται για τη δημιουργία ανακατευθύνσεων σε αναρτήσεις, σελίδες και προσαρμοσμένες διευθύνσεις URL.
Το WordPress.org έχει αποσύρει προσωρινά την προσθήκη από τον κατάλογο εν αναμονή ελέγχου. Δεν είναι σαφές εάν ο συγγραφέας της προσθήκης εισήγαγε την κερκόπορτα ή εάν παραβιάστηκαν από τρίτο μέρος.
Ο Ginder εξηγεί ότι οι επίσημες εκδόσεις πρόσθετων 5.2.1 και 5.2.2, που κυκλοφόρησαν μεταξύ 2020 και 2021, περιελάμβαναν έναν κρυφό μηχανισμό αυτόματης ενημέρωσης που κατευθύνεται σε τομέα τρίτου μέρους, anadnet[.]comτο οποίο επέτρεψε την προώθηση αυθαίρετου κώδικα εκτός του ελέγχου του WordPress.org.
Τον Φεβρουάριο του 2021, το κακόβουλο εργαλείο αυτο-ενημέρωσης αφαιρέθηκε από τις επόμενες εκδόσεις της προσθήκης στο WordPress.org, προτού οι αναθεωρητές κώδικα είχαν την ευκαιρία να το εξετάσουν εξονυχιστικά.
Τον Μάρτιο του 2021, σύμφωνα με τον Ginder, οι ιστότοποι που εκτελούσαν Quick Page/Post Redirect 5.2.1 και 5.2.2 έλαβαν αθόρυβα μια παραποιημένη έκδοση 5.2.3 από αυτόν τον εξωτερικό διακομιστή, ο οποίος εισήγαγε μια παθητική κερκόπορτα.
Ωστόσο, η κατασκευή από το ‘w.anadnet[.]com’ ο διακομιστής με τον επιπλέον κώδικα backdoor είχε διαφορετικό κατακερματισμό από την ίδια έκδοση της προσθήκης που προέρχεται από το WordPress.org.
Η παθητική κερκόπορτα ενεργοποιείται μόνο για αποσυνδεδεμένους χρήστες για να αποκρύψουν τη δραστηριότητά της από τους διαχειριστές. Συνδέεται στο «the_content» και ανακτά δεδομένα από τον διακομιστή «anadnet», που πιθανότατα χρησιμοποιείται για λειτουργίες ανεπιθύμητης αλληλογραφίας SEO.
“Ο πραγματικός μηχανισμός ήταν απόκρυψη παρασιτικών SEO. Το πρόσθετο ενοικίαζε την κατάταξη της Google σε εβδομήντα χιλιάδες ιστότοπους πίσω σε όποιον λειτουργούσε αυτό το backchannel το 2021.” εξήγησε ο Γκίντερ.
Ωστόσο, ο πραγματικός κίνδυνος για τους επηρεασμένους ιστότοπους προέρχεται από τον ίδιο τον μηχανισμό ενημέρωσης, ο οποίος επέτρεψε την αυθαίρετη εκτέλεση κώδικα κατά παραγγελία. Αυτός ο μηχανισμός εξακολουθεί να υπάρχει σε ιστότοπους που χρησιμοποιούν την προσθήκη, αλλά είναι αδρανής επειδή ο κακόβουλος εξωτερικός υποτομέας εντολών και ελέγχου δεν επιλύεται. Ωστόσο, ο τομέας είναι ενεργός.
Η λύση για τους επηρεασμένους χρήστες είναι να απεγκαταστήσετε την προσθήκη και να την αντικαταστήσετε με ένα καθαρό αντίγραφο της έκδοσης 5.2.4 που προέρχεται από το WordPress.org όταν γίνει ξανά διαθέσιμη.
Το Ginder περιέλαβε ένα μήνυμα για όποιον βρίσκεται πίσω από την κερκόπορτα, προτρέποντάς τους να κάνουν το σωστό τώρα και να δημοσιεύσουν μια στατική ενημέρωση ενημέρωσης που αναγκάζει όλες τις επηρεαζόμενες εγκαταστάσεις να αναβαθμιστούν αυτόματα στην καθαρή έκδοση του WordPress.org, αφαιρώντας ουσιαστικά την κερκόπορτα από προηγουμένως παραβιασμένους ιστότοπους.
Ο ερευνητής προειδοποιεί ότι η Γρήγορη Ανακατεύθυνση Σελίδας/Ανάρτησης έχει ακόμα 70.000 εγκαταστάσεις με έλεγχο ενημέρωσης που οδηγεί στον διακομιστή «anadnet».
Η τεχνητή νοημοσύνη συνέδεσε τέσσερις ημέρες μηδέν σε ένα exploit που παρέκαμψε τόσο τα sandboxes του renderer όσο και του λειτουργικού συστήματος. Έρχεται ένα κύμα νέων κατορθωμάτων.
VIA: www.bleepingcomputer.com
