Nacionalni CERT

Pronađeni tzv. "backdoor" alati u tri WordPress dodatka

Masivni ekosistem WordPress dodataka počinje pokazivati znakove propadanja nakon još jednog incidenta. Prema riječima sigurnosnog tima WordFence, nadležnog za sva sigurnosna pitanja vezana uz WordPress, napadači kupuju zastarjele dodatke te ih modificiraju ubacujući zlonamjerni alat kako bi sebi omogućili pristup do stranica koje koriste te dodatke. WordFence je veoma brzo reagirao te uklonio sporne dodatke s njihovih službenih stranica.

Prema objavljenim podacima, riječ je o tri dodatka:

  • Duplicate Page and Post (više od 50000 aktivnih dodataka)
  • No Follow All External Links (više od 9000 aktivnih dodataka)
  • WP No External Links (više od 30000 aktivnih dodataka)

Analiza je pokazala kako sva tri dodatka djeluju na sličan način. Nakon stupanja u kontakt s udaljenim poslužiteljem, na zaraženu stranicu ubacuju zlonamjerni sadržaj te razne poveznice.

Također, stručnjaci vjeruju kako je u sva tri slučaja riječ o istom napadaču jer je analiza pokazala visoku razinu sličnosti između ovih slučajeva.

Ovaj incident nije prvi incident ovog tipa jer je WordFence već ranije uklanjao dodatke za koje je ustanovljeno kako imaju backdoor alat. Tada je riječ bilo o dodacima Captcha, Display Widgets i 404 to 301.

Ono što posebno zabrinjava jest činjenica kako zaraženi dodaci mogu biti aktivni godinama. Prema procjenama, tri godine nakon inicijalnih incidenata ovog tipa, još uvijek postoji stotine stranica koje ove dodatke koriste.

28.12.2017