WordFence的安全專家發現,一款下載量高達30萬次的WordPress插件Captcha暗藏了一個后門,允許潛在攻擊者獲得對WordPress網站的管理訪問權限,而不需要任何身份驗證。
Captcha是一款實用的驗證碼插件,可用于加強WordPress網站后臺的登錄安全,最初由插件開發公司BestWebSoft擁有及維護。
在今年9月5日,BestWebSoft公司宣布了對于Captcha所有權的轉讓,但在當時并未提及這個接手公司的相關信息。僅在三個月之后,Captcha的新東家就發布了4.3.7版本,其中便包含了惡意代碼。
安全專家發現,惡意代碼會觸發一個自動更新過程。首先,會連接到simplywordpress.net域名下載一個插件更新包(ZIP文件)。然后,更新包會自動執行并安裝以覆蓋WordPress網站原本運行的Captcha插件。
這個ZIP文件中就包含了一個叫名為“plugin-update.php”的后門文件,它會利用用戶 ID (WordPress首次安裝時創建的默認管理員用戶)來創建會話,設置認證 cookie,隨后刪除自己。由于后門安裝代碼并沒有經過認證,這意味著任何人都可以觸發它。
WordFence在調查后發現,Simplywordpress.net是通過過電子郵箱地址[email protected]注冊的,注冊人名為“Stacy Wellington”。通過使用反向whois查找,WordFence發現這個用戶還注冊了大量的其他域名。
回到Simplywordpress.net這個域名,除了Captcha之外,它還托管了另外5款插件可供下載:Covert me Popup、Death To Comments、Human Captcha、Smart Recaptcha和Social Exchange。
毫無例外,這5款插件都包含有與Captcha相同的后門安裝代碼。此外,如果使用“site:simplywordpress.net”在谷歌進行搜索,還會發現該域名還提供了更多的插件下載。
目前,WordPress插件團隊已經將其從官方WordPress插件庫中刪除,并為受影響的用戶提供了安全版本(Captcha 4.4.5)。WordFence也創建了三條防火墻來保護用戶的網站免受Captcha的影響,這些規則能夠阻止Captcha執行后門安裝代碼以及其他5款插件通過Simplywordpress.net下載。
此外,WordFence已經與WordPress插件團隊合作,對Captcha 4.4.5之前的版本進行修復。
京公網安備 11010502049343號