Cabecera-v2-web.jpg

Backdoor encontrado en "Captcha" WordPress Plugin


El plugin "Captcha" de WordPress instalado en más de 300.000 sitios ha sido modificado recientemente para descargar e instalar un backdoor. El equipo de WordPress ha intervenido y eliminado este complemento del repositorio oficial de WordPress Plugins, que también proporciona versiones limpias para los clientes afectados.

backdoor_wordpress.jpg

Conocido solo como Captcha, el plugin de WordPress fue uno de los plugins más populares en el sitio oficial. Fue el trabajo de un desarrollador de plugins muy popular llamado BestWebSoft. Esta compañí­a está detrás de muchos otros plugins conocidos de WordPress.

BestWebSoft vendió la versión gratuita de su plugin Captcha a un nuevo desarrollador llamado Simply WordPress el 5 de septiembre, según una publicación en el sitio de la compañí­a.

Exactamente tres meses después de la venta, el nuevo propietario del complemento publicó Captcha versión 4.3.7, que contení­a código malicioso que se conectaba al dominio simplywordpress.net y descargaba un paquete de actualización de complemento desde fuera del repositorio oficial de WordPress (en contra de sus reglas). Este paquete de actualización instalaba una puerta trasera en los sitios que usan el complemento.

"Este backdoor (puerta trasera) crea una sesión con el ID de usuario 1 (el usuario administrador predeterminado que crea WordPress cuando lo instala por primera vez), establece las cookies de autenticación y luego se elimina a sí­ mismo", dice Matt Barry, investigador de seguridad de Wordfence. "El código de instalación de la puerta trasera no tiene autenticación, lo que significa que cualquiera puede activarlo".

Actualización limpia

Además, también hay un código para activar una actualización limpia que elimina cualquier rastro de la puerta trasera, en caso de que el atacante decida borrar todas sus pistas.

Al principio esta actualización no llamó la atención de nadie. Lo que expuso la puerta trasera no fue una queja del usuario, sino un reclamo de derechos de autor del equipo de WordPress. Hace unos dí­as, el equipo de WordPress eliminó el plugin Captcha de su sitio porque el nuevo autor del complemento habí­a utilizado la marca comercial "WordPress" en su nombre y marca de complemento.

La eliminación del plugin del sitio de WordPress alertó al equipo de seguridad de Wordfence, una empresa que proporciona un firewall de aplicaciones web para sitios de WordPress. "Cada vez que el repositorio de WordPress elimina un complemento con una gran base de usuarios, verificamos si pudo ser debido a algo relacionado con la seguridad", dice Barry, explicando cómo llegaron a revisar el código del complemento y detectar la puerta trasera.

Una vez que detectaron la puerta trasera, Wordfence notificó al equipo de seguridad de WordPress. Gracias a ello se compiló una versión limpia del plugin Captcha (versión 4.4.5) e inmediatamente comenzaron a forzar la instalación en todos los sitios web afectados. Eliminaron así­ las versiones con código malicioso de los usuarios. Más de 100.000 sitios recibieron la versión limpia del plugin Captcha durante el fin de semana, dijeron desde el equipo de WordPress.


Fuente: blog.segu-info.com.ar


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11