Tri godine posle otkrića, stotine WordPress sajtova i dalje koristi backdoorovane pluginove

Vesti, 27.12.2017, 10:30 AM

Više od godinu dana posle otkrića malicioznog koda u izvornom kodu 14 WordPress dodataka, stručnjaci upozoravaju da stotine sajtova još uvek koristi sporne dodatke.

Krajem oktobra prošle godine stručnjaci firme White Fir Design upozorili su na prisustvo malicioznog koda u 14 dodataka koji omogućava napadačima daljinsko pokretanje koda na WordPress sajtovima. Oni su rekli da kod ne izgleda kao da ima legitimnu svrhu, što ukazuje na to da su oni koji stoje iza njega imali zle namere.

Stručnjaci iz White Fir povezali su 14 plugina sa blog postom programera iz Hong Konga Tomasa Hambaha objavljenim 2014. godine, koji je otkrio isti maliciozni kod. Hambah je tada rekao da napadači koriste zlonamerni kod za ubacivanje SEO spam linkova na hakovane sajtove i da bi zatim adrese tih sajtova i drugi detalji bili poslali napadačima.

Tim WordPressa je intervenisao posle Hambahovog otkrića, i do februara 2014. uklonio je dodatak koji je Hambah pronašao, a do kraja 2014. WordPress je uklonio svih 14 malicioznih pluginova iz zvaničnog WordPress Plugin Directory. Uprkos tome, stručnjaci iz White Fir su tokom cele 2015. godine nastavili da otkrivaju pokušaje pristupa zlonamernom kodu (backdoorovanih pluginova) sa različitih IP adresa.

Ovi napadi ponovo su primećeni kada se nedavno promenio WordPress Plugin Directory, tako da su stranice za stare plugove koje su bile zatvorene postale vidljive, iako je opcija za preuzimanje onemogućena. Prethodno, ove stranice nisu bile javno dostupne.

Stranice za sve dodatke koji sadrže zlonamerni kod pokazuju da skoro tri godine nakon što je WordPressov tim uklonio dodatke iz javnog preuzimanja, na stotine sajtova ih još uvek koristi. Sve stranice koje koriste ove dodatke mogu biti hakovane ako napadač zna šta treba da traži. Sajtovi su najverovatnije napušteni, već dugo zaboravljeni projekti.

Pokušavajući da zaštiti korisnike od sajtova koje je lako hakovati i koji bi mogli biti iskorišćeni za širenje malvera, stručnjaci su predložili WordPress timu da ubuduće obaveštava vlasnike sajtova kada se iz bezbednosnih razloga dodatak ukloni iz zvaničnog WordPress Plugins Directory.

Međutim, u WordPressu kažu da to nije dobra ideja i da bi to dovelo WordPress sajtove dovelo u još veću opasnost.

"Ako postoji exploit a mi objavimo tu činjenicu bez zakrpa, dovodimo vas u još veću opasnost", kaže Mika Epštajn, član tima WordPressa. "Ako objavimo da postoji exploit, većina hakera će napasti. Ako nikome ne kažemo, onda će napasti hakeri koji znaju, ali bi oni to ionako uradili."

Međutim, stručnjaci nisu bili zadovoljni ovim rešenjem, a neki kažu da WordPress treba da preuzme veoma intruzivan korak i da uklanja ranjive pluginove sa pogođenih sajtova.

Problem sa ovim predlogom je što bi ovo stvorilo dilemu da li je važnije sačuvati sajtove od hakovanja po cenu remećenja njihovog funkcionisanja zbog uklanjanja pluginova i indirektno nekih funkcija.

Godinu dana nakon ovih polemika, čini se da je WordPressov tim odabrao drugačiji put što pokazuje slučaj backdoorovanog WordPress plugina koji je pogodio više od 300000 sajtova.

Da bi rešili problem većih bezbednosnih pretnji, programeri WordPressa će vraćati zlonamerne promene plugina na poslednju čistu verziju istog dodatka, koju će pakovati kao novu ažuriranu i primeniti ažuriranje na sve pogođene sajtove. Na taj način se rešava problem ranjivosti ili backdoora, ali funkcionalnost sajtova ostaje netaknuta. Ali ovakav postupak oduzima vreme koje tim WordPressa nema tako da će se primenjivati samo u slučaju kada postoje veliki bezbednosni problemi.

U međuvremenu, vlasnici web sajtova mogu instalirati jedan od mnogih bezbednosnih dodataka koji su dostupni u WordPress Plugins Directory i uraditi reviziju svog sajta tražeći stare pluginove koji imaju sigurnosne greške.