В октябре прошлого года эксперты компании White Fir Design предупредили общественность о наличии подозрительного кода в 14 WordPress-плагинах. Как выяснил репортер Bleeping Computer, доступ к этим плагинам для скачивания давно закрыт в официальном репозитории WordPress, однако они по-прежнему продолжают работать на сотнях сайтов.

«На первый взгляд этот код не имеет легитимного назначения и, вероятно, был привнесен умышленно и с недоброй целью», — цитирует Bleeping Computer экспертов White Fir Design. Результаты анализа показали, что все модифицированные плагины содержат уязвимость, позволяющую удаленно исполнить произвольный код.

Исследователи связали обнаруженный код с находкой веб-разработчика из Гонконга Томаса Хамбаха (Thomas Hambach). Почти четыре года назад тот выявил в WordPress-плагине Handy Lightbox вредоносный код, который злоумышленники использовали для внедрения спамовых SEO-ссылок на сайты, а также сбора URL сайтов и других данных с последующей отправкой на указанные email-адреса.

Команда WordPress в итоге изъяла из открытого доступа Handy Lightbox и 14 вредоносных плагинов, найденных White Fir Design. Тем не менее, эксперты продолжают фиксировать попытки доступа к вредоносному коду, внедренному в эти продукты.

А недавно репортер Bleeping Computer обнаружил, что в официальном хранилище плагинов WordPress произошли изменения и закрытые списки устаревших плагинов стали видны, хотя опция скачивания по-прежнему заблокирована. Из этих записей явствует, что вредоносные плагины до сих пор функционируют на сайтах — возможно, заброшенных или попросту забытых.

Handy Lightbox installs - WordPress

Plugin Name Active Installs
return-to-top 50+
 page-google-maps 500+
gallery-slider 300+
g-translate 60+
share-buttons-wp 200+
mailchimp-integration fewer than 10
smart-videos 70+
seo-rotator-for-images 70+
ads-widget 40+
seo-keyword-page 200+
wp-handy-lightbox 500+
wp-popup fewer than 10
google-analytics-analyze 70+
cookie-eu fewer than 10

ИБ-эксперты давно советуют WordPress.org наладить оповещение владельцев сайтов в случаях удаления из репозитория плагинов с запятнанной репутацией. Это помогло бы оградить пользователей от возможных угроз, таящихся на легко взламываемых ресурсах. Однако WordPress.org подобные меры не импонируют.

«Если возможность эксплойта существует и мы огласим этот факт в отсутствие патча, риски для вас [как владельца сайта] еще больше повысятся, — заявил журналистам Bleeping Computer Мика Эпштейн (Mika Epstein) из команды WordPress. — Если разнести весть о возможности эксплойта, хакеры (большинство из них) начнут атаковать всех подряд. Если держать эту новость в секрете, атаковать будут лишь те хакеры, которым она известна, но им наши подсказки не нужны».

Однако экспертов такой пассивный подход не устраивает. Некоторые в качестве альтернативы предлагают WordPress.org удалять уязвимые плагины с сайтов, но тогда вновь встанет вопрос об этичности и правомерности столь решительных действий. Нельзя защищать сайты от взлома методами, нарушающими их функциональность, что неизбежно при принудительном удалении плагинов.

В результате горячих дискуссий команда WordPress, похоже, нашла третий путь — живой пример тому недавняя история с плагином Captcha, изъятым из официального репозитория за нарушение авторских прав. Когда оказалось, что он был забэкдорен, на сайты была в автоматическом режиме загружена новая, чистая версия. Правда, откат до чистой версии, переупаковка и принудительная установка апдейта заставили штат WordPress.org изрядно потрудиться и потратить ценное время, зато дали искомый эффект в сжатые сроки.

Категории: Аналитика, Вредоносные программы, Главное, Кибероборона, Уязвимости