Meer dan 300.000 wordpress websites “besmet” met backdoor.

Een bekende WordPress plugin, welke meer dan 300.000 keer op WordPress websites geinstalleerd is bevat een backdoor. DezeBackdoor found in WordPress plugin die bekend is onder de naam Captcha, is inmiddels verwijderd van de WordPress plugin repository. Hier word nu een clean versie aangeboden aan degene die “besmet” zijn (geweest). De plugin Captcha was een van de populairste CAPTCHA plugins op de officiële WordPress website en kwam van de hand van een zeer gerespecteerde plugin ontwikkelaar genaamd BestWebSoft. Dit software ontwikkel bedrijf heeft vele populaire WordPress plugins.

Maar! De plugin was verkocht in september 2017, en de backdoor was pas in december toegevoegd.

BestWebSoft verkocht de gratis versie van de plugin aan een nieuwe ontwikkelaar genaamd, Simply WordPress op 5 sept 2017. Volgens dit blog-artikel op de website van BestWebSoft lanceerde 3 maanden na de verkoop de nieuwe eigenaar versie 4.3.7. Deze versie bevat de kwaadaardige code die verbinding maakt met simplywordpress.net en een update package download buiten de officiële WordPress repository om. Deze update installeerde dan een backdoor op de websites die de plugin gebruikte.

“Deze backdoor creëert een sessie met gebruikers ID1 (de default admin user die WordPress zelf creëert als je WordPress installeert) plaatst een authenticatie cookie, en hierna delete de update package zichzelf.” deze info komt van Matt Barry, Wordfence security researcher.

Ook bevat de code een clean update die de backdoor verwijderd als de aanvaller besluit alle sporen uit te wissen.

Backdoor bij toeval ontdekt.

In eerste instantie de update was niet opgemerkt en had tot op de dag van vandaag schade kunnen aanrichten. De reden dan de backdoor werd ontdekt is, komt doordat de nieuwe eigenaar van de plugin de naam WordPress gebruikte in de naam van het bedrijf en dat is tegen de regels. Doordat WordPress de originele plugin tijdelijk uit de repository heeft gehaald tot het bedrijf de naam zou hebben aangepast viel deze plugin op bij Wordfence, een bedrijf wat een krachtige web Application Firewall aanbied voor WordPress websites.

“Iedere keer dat WordPress een plugin uit de repository haalt, welke een grote gebruikers achterban heeft, checkt Wordfence altijd of dit komt vanwege security redenen.”

Het verwijderen van een plugin was dus de reden dat de code van de plugin nader onderzoek kreeg. Toen werd de kwaadaardige code ontdekt.

WordPress team plaatst schone versie online.

Toen de code eenmaal ontdekt was heeft Wordfence dit direct doorgegeven aan het security  team van WordPress. Die hebben een schone versie van de plugin online gezet en deze update gepushed naar alle geïnfecteerde websites. Meer dan 100.000 sites hebben het eerste weekend na de ontdekking een schone versie van de plugin gekregen. Volgens het WordPress team. Sinds de ontdekking heeft het Wordfence team het simply wordpress bedrijf onder de loep gehouden. Experts geven aan meerdere plugins gevonden te hebben die voorzien waren van een backdoor.

  • Covert me popup
  • Death to comments
  • Human captcha
  • Smart recaptcha
  • Social exchange
Geen van deze plugins worden echter via de officiële WordPress repository aangeboden. Een uitgebreide rapport over de gevonden code is te vinden op de website van Wordfence

Dit artikel is een vertaling van het originele artikel op de website van Bleeping computer. Ik heb dit gedaan niet om de tekst te stelen van Bleeping computer maar om mensen te waarschuwen voor deze manier van cybercrime.

 

This article is a translation of the original article from bleeping computer. The reason I translated this article is not to steal there article but to help people who may be infected by this backdoor. All credits go to the original poster on bleeping computer.

Share This