URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 113081
[ Назад ]
Исходное сообщение
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено opennews , 20-Дек-17 12:36 
В плагине Captcha к системе управления контентом WordPress, который насчитывает более 300 тысяч активных установок, выявлен бэкдор, предоставляющий доступ с правами администратора. После установки обновления в систему устанавливается файл с бэкдором plugin-update.php, который создаёт идентификатор сеанса с правами администратора, настраивает связанные с ним аутентификационные cookie.

Случай с Captcha является продолжением сентябрьской истории с появлением бэкдора в плагине "Display Widgets". Captcha также был продан Мэйсону Сойза (Mason Soiza) и новый владелец, выждав три месяца, выпустил обновление 4.3.6, в котором среди накопившихся исправлений был интегрирован вредоносный код.

Метод интеграции вредоносного кода в Captcha отличается от случая с дополнением "Display Widgets" иным методом заметания следов - в код Captcha была добавлена вставка для загрузки стороннего пакета обновлений в обход официального каталога WordPress.org, что является грубейшим нарушением правил. Обновление запрашивалось с внешней страницы https://simplywordpress.net/captcha/captcha_pro_update.php, с который загружался ZIP-архив с бэкдором. В ZIP-архиве размещалась текущая актуальная версия Captcha, отличающаяся от варианта из каталога WordPress.org наличием файла plugin-update.php с бэкдором, через котоорый любой сторонний злоумышленник получал возможность доступа к сайту с правами администратора (ID 1). Обновление также отличалось заменой имени обновления с captcha_pro_update.php на captcha_free_update.php, при загрузке которого выдавался ZIP-архив без бэкдора.


Примечательно, что бэкдор был выявлен не после жалоб пользователей или анализа кода, а в результате случайного стечения обстоятельств - плагин был заблокирован (http://webcache.googleusercontent.com/search?q=cache:https:/...) из-за ненадлежащего использования торговой марки wordpress в имени нового разработчика плагина (Simplywordpress). Удаление привлекло внимание исследователей безопасности из компании Wordfence, которые решили провести аудит кода плагина и не ошиблись, сразу натолкнувшись на бэкдор.

Представители Wordfence сообщили о находке администрации WordPress.org, которая инициировала доставку внештатного обновления Captcha 4.4.5, в котором откатила все изменения, предложенные новыми владельцами в выпусках с 4.3.6 по 4.4.4. Кроме того, была заблокирована возможность размещения обновлений без прохождения ручного рецензирования для  Captcha и пяти других плагинов того же автора (Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange).


URL: https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/
Новость: http://www.opennet.dev/opennews/art.shtml?num=47772

Содержание
Сообщения в этом обсуждении
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 20-Дек-17 12:36 
Да уж. Полон опасностей похапе-мирок.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Crazy Alex , 20-Дек-17 12:55 
ну, тут от языка ничего не зависит
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено py , 20-Дек-17 14:39 
В ПХП пишут побыстрее и подешевле. Достаточно сравнить исходники дополнений для любой популярной ЦМС от ПХП и с чем-то не столько популярным. Непопулярный язык изучить сложнее, тут меньше *овнокодеров.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 20-Дек-17 19:25 
> Непопулярный язык изучить сложнее, тут меньше *овнокодеров

Например, Delphi

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Crazy Alex , 20-Дек-17 22:44 
А с этим никто и не спорил. Как оно связано с топиком? Я вижу только вариант неуловимого Джо - на непопулярном языке ни черта не пишут, и в результате подобное мошенниечтво просто смысла не имеет.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено botman , 20-Дек-17 14:49 
Зависит от всяких там Mason Soiza
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Отражение луны , 20-Дек-17 16:11 
В общем-то зависит. Средствами пэхэпэ не организовать секьюрную систему плагинов. К сожалению, это не заставляет людей отказаться от этой идеи, что и приводит к проблемам такого рода.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 20-Дек-17 16:28 
> Средствами пэхэпэ не организовать секьюрную систему плагинов.

PHP не тьюринг-полный язык?

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено AS , 20-Дек-17 19:12 
извиняюсь нажал минус. зря нажал - в конце предложения ? не заметил, старый стал..
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Crazy Alex , 20-Дек-17 22:42 
Как вы представляете себе организацию секьюрной системы, которая защищала бы от злонамеренного автора? ну разве что AI наваять, который будет проверять код... тут да, на PHP его, пожалуй, прблематично будет сделать.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено vitalif , 20-Дек-17 23:26 
Сэндбоксы какие-нибудь... но это в любом языке трудно сделать, всё равно всегда найдётся дырочка, что в PHP, что в JVM... что в V8... Единственный настоящий способ изоляции - в другом процессе, запущенном от другого юзера. Ну или в Lua интерпретаторе запускаемом внутри PHP... :) но это же пипец =)
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 21-Дек-17 06:15 
>Единственный настоящий способ изоляции - в другом процессе, запущенном от другого юзера.

Сразу уж в докере. Стильно модно молодежно

Другой пользователь, другой namespace, виртуалка - тоже подвержены уязвимостям и багам. И система с плагинами, которые запускаются в изоляции тоже небезглючна

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Michael Shigorin , 21-Дек-17 07:22 
>> Единственный настоящий способ изоляции - в другом процессе, запущенном от другого юзера.
> Сразу уж в докере. Стильно модно молодежно
> Другой пользователь, другой namespace, виртуалка - тоже подвержены уязвимостям и багам.

Вы просто не поверите (ц), но грамотно реализованный privsep бывает _гораздо_ безопасней дыркера.

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 21-Дек-17 13:44 
Одно другому не мешает.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 21-Дек-17 16:20 
Всё так.
Тогда уж напишите разработчикам dd, чтобы при случайном # dd if=... of=/dev/sdb выводили подтверждение "У вас там сейчас папка home с 1 Тб файлами, вы точно имели в виду sdb, а не флешку с sdc?" ответы "да", "нет", "я дypaк, просто копипастю с чьего-то сайта".
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено AntonAlekseevich , 21-Дек-17 21:22 
> Тогда уж напишите разработчикам dd, чтобы при случайном

А лучше прислать патч для этого.
> # dd if=... of=/dev/sdb

Для любой команды способной сделать очень больно как системе так и пользователю.
> выводили подтверждение "У вас там сейчас папка home с 1 Тб файлами, вы точно имели в виду sdb, а не флешку с sdc?"

Лучше не просто предупреждение, а требование написать фразу "i know what i do and i know what it is exactly doing"

Как минимум обезопасит чуть менее тупого пользователя, но сильно и вредно сыграет для специалиста.

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Гентушник , 23-Дек-17 14:35 
Особенно весело будет использовать такой dd в скриптах.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено AntonAlekseevich , 24-Дек-17 17:28 
> Особенно весело будет использовать такой dd в скриптах.

Я же написал что вредно для специалиста.

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 20-Дек-17 18:25 
PHP хотя бы исходники можно сразу прочитать.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Michael Shigorin , 21-Дек-17 00:06 
Это скорее вопрос [суб]культуры, как мне кажется.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Петр А , 20-Дек-17 19:44 
>> Полон опасностей похапе-мирок.

Таков он, мир олбанских вирусов.
«Плажлуйста, запустите процесс форматирования своего диска вручную. Спасибо.»

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено ыы , 20-Дек-17 12:45 
Очень мило...
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Имя , 20-Дек-17 13:10 
Молодец, Мэйсон Сойза! Не ноет, а всеми силами борется с засильем ненавистного PHP. Не сдавайся, Мейсон, мы с тобой!
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено ыы , 20-Дек-17 13:18 
Жестокенький похапе-мирок не прощает безалаберности:
"из-за ненадлежащего использования торговой марки wordpress в имени нового разработчика плагина"
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 20-Дек-17 14:26 
А чем, исполняемым на стороне сервера, предлагется заменять ненавистный PHP?

P.S. Я за Python

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 20-Дек-17 15:49 
Бро, ты меня пронзил в самый мозг своим вопросом.
Любой язык, программа/скрипт на котором способны выдать текст (веб-страницу, жабаскрипт, стайлшит) или двоичные данные (картинку), пригоден для генерации веб-контента на стороне сервера.
p.s. А я за Crystal&Kemal :b
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 20-Дек-17 18:26 
И чем любой язык будет лучше php
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено xxyyzz , 20-Дек-17 19:30 
притащишь на своей маргинальщине wordpress, тогда посмотрим, как в плагин бэкдор вставить
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 21-Дек-17 00:40 
Ага, щаззз. Если ты не умеешь пользоваться ничем, кроме wp, то это твои проблемы, и никто тебе альтернативную реализацию этого продукта предоставлять не обязан.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено 123 , 20-Дек-17 18:25 
Подразумевается что на пыхоне обычные мааки сделают меньше кривого кода? Сомневаюсь, практика говорит об обратном.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Servo , 20-Дек-17 14:11 
> насчитывает более 300 тысяч активных установок

Просто жесть какая-то

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 20-Дек-17 14:13 
Не бэкдор, а фича. Просто разрабочики этого дерьма сами не смогли разгадать её.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено пох , 20-Дек-17 16:40 
разработчики может и не пытались. А вот некто с характерным именем Масон - ниасилил, зато у него было много денег, и он их просто купил ;-)

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено bomj228 , 20-Дек-17 15:28 
Не понимаю зачем юзать какие-то там плагины, пхп да ещё и вордпресс.
Только чистый HTML + немного JS
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено vz , 20-Дек-17 16:04 
> Не понимаю зачем юзать какие-то там плагины, пхп да ещё и вордпресс.
> Только чистый HTML + немного JS

Большинству просто лень.

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено mumu , 20-Дек-17 18:51 
будто в npm модулях меньше п-ца
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 20-Дек-17 20:12 
ходь кто то , вспомнил про npm leftpad это радует потому , что про такое незабудеш
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Crazy Alex , 20-Дек-17 22:45 
Действительно - юзеры, удобное редактирование, шаблоны, генерация под устройство и прочее... зачем оно всё.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 20-Дек-17 18:42 
На аяксе надо было пилить
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Гентушник , 23-Дек-17 14:39 
На флеше!
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Kuromi , 20-Дек-17 19:29 
Интересно, использование U2F токенов спасло бы владельцев бложиков, благо вордпресс их поддерживает? Полагаю необходимость двухфактороной авторизации обойти бы не удалось?
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено php , 20-Дек-17 21:57 
в смысле, каждому Кулеме-коментатору выдать и привязать персональный токен?

блестящее решение проблемы с капчей, действительно.

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Crazy Alex , 20-Дек-17 22:46 
Причём привязать на шею. И чтобы токен весом килограммов двадцать, не меньше. И в прорубь - одним придурком меньше станет.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Kuromi , 21-Дек-17 02:09 
Да не, только админу, чтобы в админку ходить.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено PnDx , 21-Дек-17 14:21 
(глубокомысленно) В этом процессе важнее средства контрацепции.
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 21-Дек-17 02:15 
Когда начнут скупать гитхаб-репозитории с популярными либами?
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 21-Дек-17 02:24 
NodeJS и тот секюрней

- https://github.com/cure53/H5SC
- https://github.com/cure53/DOMPurify

"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Аноним , 22-Дек-17 19:56 
Здравствуйте
Что делать если на сайте стоит этот плагин, его надо удалить что ли?
"В плагине Captcha к WordPress, имеющем 300 тысяч установок, ..."
Отправлено Гентушник , 23-Дек-17 14:49 
Обновить до 4.4.5 или удалить.
Если была установлена версия с бекдором то проверить что сайт не поимели (например сравнив код и БД с бекапом) и возможно инициировать смену паролей, если через эту дыру можно было увидеть пароли или их хеши.