wordfence的安全专家发现,一款下载量高达30万次的wordpress插件captcha暗藏了一个后门,允许潜在攻击者获得对wordpress网站的管理访问权限,而不需要任何身份验证。
captcha是一款实用的验证码插件,可用于加强wordpress网站后台的登录安全,最初由插件开发公司bestwebsoft拥有及维护。
在今年9月5日,bestwebsoft公司宣布了对于captcha所有权的转让,但在当时并未提及这个接手公司的相关信息。仅在三个月之后,captcha的新东家就发布了4.3.7版本,其中便包含了恶意代码。
安全专家发现,恶意代码会触发一个自动更新过程。首先,会连接到simplywordpress[.]net域名下载一个插件更新包(zip文件)。然后,更新包会自动执行并安装以覆盖wordpress网站原本运行的captcha插件。
这个zip文件中就包含了一个叫名为“plugin-update.php”的后门文件,它会利用用户 id (wordpress首次安装时创建的默认管理员用户)来创建会话,设置认证 cookie,随后删除自己。由于后门安装代码并没有经过认证,这意味着任何人都可以触发它。
wordfence在调查后发现,simplywordpress[.]net是通过过电子邮箱地址scwellington@hotmail[.]co[.]uk注册的,注册人名为“stacy wellington”。通过使用反向whois查找,wordfence发现这个用户还注册了大量的其他域名。
回到simplywordpress[.]net这个域名,除了captcha之外,它还托管了另外5款插件可供下载:covert me popup、death to comments、human captcha、smart recaptcha和social exchange。
毫无例外,这5款插件都包含有与captcha相同的后门安装代码。此外,如果使用“site:simplywordpress[.]nett”在谷歌进行搜索,还会发现该域名还提供了更多的插件下载。
目前,wordpress插件团队已经将其从官方wordpress插件库中删除,并为受影响的用户提供了安全版本(captcha 4.4.5)。wordfence也创建了三条防火墙来保护用户的网站免受captcha的影响,这些规则能够阻止captcha执行后门安装代码以及其他5款插件通过simplywordpress.net下载。
此外,wordfence已经与wordpress插件团队合作,对captcha 4.4.5之前的版本进行修复。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
