Плагин Quick Page/Post Redirect, установленный на более чем 70 000 сайтов WordPress, пять лет содержал в себе бэкдор, позволяющий внедрять произвольный код на сайты пользователей.
Брешь была обнаружена Остином Гиндером, основателем хостинг-провайдера Anchor, когда 12 зараженных сайтов у него в сети вызвали тревогу безопасности.
Плагин Quick Page/Post Redirect, доступный на WordPress.org, представляет собой базовый утилитарный плагин, применяемый с целью задания редиректов для записей, страниц и произвольных URL-адресов.
Разработчики WordPress.org временно удалили плагин из каталога до завершения проверки. Неясно, внес ли этот бэкдор сам автор или же код плагина был взломан третьей стороной.
Гиндер пояснил, что официальные версии плагина 5.2.1 и 5.2.2, выпущенные в период с 2020 по 2021 год, включали скрытый механизм самообновления, указывающий на сторонний домен anadnet[.]com, что позволяло распространять произвольный код.
В феврале 2021 года вредоносный самообновляющийся модуль был удален из плагина на WordPress.org после проверки рецензентов с WordPress.org.
В марте 2021 года, по данным Гиндера, сайты, использующие Quick Page/Post Redirect 5.2.1 и 5.2.2, незаметно получили модифицированную сборку 5.2.3 с внешнего сервера, которая содержала пассивный бэкдор.
Однако сборка с сервера w.anadnet[.]com с дополнительным кодом бэкдора имела другой хэш, чем та же версия плагина, взятая с WordPress.org.
Пассивный бэкдор срабатывает только для неавторизованных пользователей, чтобы скрыть свою активность от администраторов. Он сцепляется с the_content и получает данные с сервера anadnet, который, по всей вероятности, используется для SEO-спама.
«Фактический механизм представлял собой распространение замаскированного паразитного SEO-спама (клоакинг). Можно было легко эксплуатировать высокие позиции 70 000 сайтов в выдаче Google за счет бэкдора в 2021 году», — рассказал Гиндер.
Однако реальная опасность для затронутых сайтов исходит от самого механизма обновления, ведь он позволяет выполнять сторонний код по запросу. Этот механизм по-прежнему присутствует на сайтах с активным плагином, но он находится в спящем режиме, поскольку вредоносный внешний поддомен не разрешен (not resolved). Тем не менее сам домен остается активным.
Возможное решение: удалить плагин и заменить его чистой копией версии 5.2.4, полученной с WordPress.org, когда она снова станет доступна.
Гиндер призвал тех, кто стоит за плагином, немедленно принять меры и опубликовать манифест, который заставит все затронутые установки автоматически обновиться до чистой версии с WordPress.org, эффективно удалив бэкдор с ранее скомпрометированных сайтов.
Исследователь предупреждает, что в плагине Quick Page/Post Redirect с 70 000 установок проверка обновлений по-прежнему указывает на сервер anadnet.
Источник: https://www.bleepingcomputer.com
