Обновление плагина Custom Content Type Manager создает кошмар безопасности

На протяжении многих лет мы говорили пользователям, что каталог плагинов WordPress является самым безопасным местом для загрузки и установки плагинов. Во многом это связано с самоотверженностью добровольцев , которые действуют как привратники и проверяют плагины, прежде чем они будут добавлены в каталог. Обновления плагинов, однако, не получают такой же тщательной проверки, поскольку их слишком много.

Представитель Sucuri Security Денис Синегубко опубликовал подробный пост , в котором объясняется, как обновление плагина Custom Content Type Manager , которое активно на более чем 10 тысячах сайтов, превратилось для некоторых пользователей в кошмар безопасности. Custom Content Type Manager позволяет пользователям создавать настраиваемые поля для раскрывающихся списков, изображений и многого другого.

По словам Синегубко, 5 февраля в качестве сопровождающего был добавлен пользователь по имени Wooranker. Wooranker также указан как участник плагина Postie, но , по словам его автора , Wooranker не имеет и не будет иметь доступа для изменения исходного кода. 19 февраля Wooranker выпустил обновление , которое включало файл CCTM_Communicator.php и вставляло новый код в файл index.php плагина.

1 марта MartinCDS создал тему на форумах поддержки плагина и сообщил следующее:

Недавно я обновил несколько своих сайтов, и с тех пор мой сайт был взломан. Согласно моим файлам журнала, код был введен через custom-content-type-manager/auto-update.php. Я перешел туда, и там есть форма ввода. Пожалуйста, исправьте это в следующем обновлении. В любом случае, я не вижу причин для автоматического обновления — это известная уязвимость хакеров.

Другие пользователи также сообщили, что их сайты были взломаны из-за файла auto-update.php. Этот файл позволял злоумышленнику загрузить файл c.php в каталог плагинов. Файл c.php использовался для создания более сложной оболочки атаки с именем wp-options.php в корневом каталоге сайта. Файл c.php был удален после создания wp-options.php, что усложнило его обнаружение.

Диспетчер пользовательских типов контента исправлен

Сэмюэл «Отто» Вуд, который помогает поддерживать WordPress.org, оставил комментарий к статье , признав, что плагин был исправлен в каталоге:

Плагин обновлен до 0.9.8.9, которая является копией 0.9.8.6 (последняя хорошая версия). Это удалит вредоносный код из плагина, но не тот код, который был добавлен на сайты за это время. Пожалуйста, следуйте шагам по смягчению последствий, указанным Денисом в посте.

Чтобы узнать, как работает атака, понять, кем может быть Wooranker, и увидеть список шагов по смягчению последствий, я рекомендую вам прочитать этот пост .

Тревожное напоминание

Мне жаль тех, кто обновил свои плагины из надежного источника только для того, чтобы сделать свои сайты уязвимыми для атак. К сожалению, невозможно предотвратить подобные ситуации, если только каждая строка кода для каждого обновления не будет тщательно проверена специалистом по безопасности, но это не масштабируется.

Это не умаляет моего доверия к каталогу плагинов WordPress, но пользователи должны понимать, что то, что произошло с Custom Content Type Manager, может произойти и с другими плагинами. Лучшей защитой является использование выбранного вами программного обеспечения для сканирования системы безопасности, которое отслеживает изменения файлов и регулярно создает резервные копии.