WordPress ist beliebt bei vielen Anwendern, die auch auf die große Auswahl funktioneller Plug-ins für diese Webanwendung zurückgreifen. Solche Plug-ins gibt es sowohl von WordPress und auch von einer Reihe anderer Anbieter, manchmal gratis, manchmal gegen Gebühr. Kurz vor Weihnachten 2017 sind dem WordPress Sicherheits-Plug-in WordFence allerdings einige Ungereimtheiten aufgefallen. Weitere Untersuchungen brachten eine Backdoor im CAPTCHA-Plug-in zutage. Man fragte sich, wie dieses über 300.000 Mal installierte Anti-Spam-Plug-in missbraucht werden konnte.

Angefangen hat alles im letzten September. Damals war dieses kostenfreie CAPTCHA-Plug-in, entwickelt vom Plug-in-Programmierer BestWebSoft, weiterverkauft worden an Simplywordpress. Simplywordpress nahm sich drei Monate Zeit, um das CAPTCHA-Plug-in umzuprogrammieren und dann aktualisiert als Version 4.3.7 ins Netz zu stellen. Kurze Zeit später gab es Probleme mit den Markenrechten des Plug-ins und WordPress löschte es aus der Auswahl auf derWordPress.org Website. Simplywordpress verwendete unerlaubterweise immer noch den WordPress Markennamen und das Firmenbranding. Zu diesem Zeitpunkt war den WordPress-Sicherheitsexperten die Backdoor im Code des Plug-ins noch gar nicht aufgefallen. Interessanterweise fiel dies erst auf, als das CAPTCHA-Plug-in von WordFence Security automatisch entfernt wurde aus dem Angebot. Möglich war das durch die von WordFence hinterlegte Regel, wo nach entfernte Plug-ins mit hohen Nutzerzahlen einer routinemäßigen Sicherheitsprüfung unterzogen werden. Und so entdeckte das WordFence Security dann die Backdoor und warnte die Sicherheitsabteilung von WordPress. Die arbeitete daraufhin mit Hochdruck an einer Aktualisierung einer Vorversion (4.4.5), dieses CAPTCHA-Plug-ins. Danach installierte sich diese gesäuberte Version sogleich selbstständig und reparierte in etwa 100.000 infizierte Plug-ins in WordPress-Blogs. Zusätzlich wurde die Version 4.3.7 von der Auswahl gelöscht und die reparierte offizielle Version 4.4.5 zur Verfügung gestellt. Als letzte wichtige Maßnahme sperrte man Simplywordpress von dem Veröffentlichen von Updates aus. Auch WordFence hat aufgerüstet: Neue Regeln für die Firewall der App blockieren sowohl das CAPTCHA -Plug-in sowie auch fünf andere Plug-ins vom selben Anbieter. Außerdem kann kein Update dieses Anbieters mehr online gehen, ohne vorher durch WordPress geprüft worden zu sein.

Sinn und Zweck der CAPTCHA-Backdoor

Der im Plug-in versteckte manipulierte Code war gar nicht so gefährlich, wie es zunächst den Anschein hatte. Er sollte nur dafür sorgen, dass das Plug-in hinter den Kulissen Backlinks zu diversen gewerblichen Internetauftritten und Spam-Domains setzt. Damit sollte das Googleranking der Seiten erhöht werden. Zu den Webseitenbetreibern gehören ein gewisser Mason Soiza, Inhaber einer SEO-Firma, sowie eine gewisse Stacy Wellington.

Auf er Domain von simplywordpress.net waren die Wordfence-Sicherheitsexperten fündig geworden. Soiza ist kein Unbekannter und hat Verbindungen zu Simply WordPress. Er wurde schon einmal dabei erwischt, Backdoors in beliebte Display Widgets integriert zu haben. Dem Anschein nach ist er ein Aufkäufer insbesondere von WordPress-Plug-ins in die er jeweils Backdoor-Code einprogrammiert.

Ein automatischer Downloader in dem veränderten Plug-in sollte ein gezipptes File von https://simplywordpress.net/captcha/captcha_pro_update.php herunterladen. So übertrug sich die Backdoor auf ihr Ziel. Die Backdoor hatte dann die Aufgabe eine Sitzung herzustellen mithilfe der User-ID 1, die Cookies zur Authentifizierung festzulegen und sich abschließend selbst zu löschen.

Es wurden noch diverse andere Update-Pakete auf der Domain von simplywordpress gefunden, allesamt für weitere WordPress-Plug-ins, darunter: Social Exchange, Covert me Popup, Smart Recaptcha, Human Captcha und Death To Comments.

Plugin-Backdoors zurzeit recht populär

Auch vBulletin Solutions, das eine sehr beliebte und viel genutzte Internetforenplattform betreibt war betroffen. Das Unternehmen veröffentlichte ebenfalls dringende Patches als Notfallmaßnahmen. Folgende Patches wurden bereitgestellt von vBulletin Solutions: vBulletin 5.3.4 Patch Level 1, vBulletin 5.3.3 Patch Level 1 bzw. vBulletin 5.3.2 Patch Level 2. Eine der Sicherheitslücken ermöglichte unauthentifizierten Angreifern, irgendwelche Files innerhalb eines vBulletin-Programmes zu entfernen. Eine andere Sicherheitslücke lies zu, dass jede Art von Code auf windowsbasierten Web-Servern ausgeführt werden konnte. Leider konnten die genannten Patches nur mit einiger Verspätung veröffentlich werden. Daher bestand eine hier Zeit lang Zero-Day-Zustand.

Sogar bekanntere Firmen wie Sony Pictures, Zynga, Valve Corporation, Electronic Arts und selbst die NASA machen von vBulletin Gebrauch. Auch hier sind einige Versuche bekannt, die Sicherheitslücken bei vBulletin ausgenutzt haben. Ziel dabei war, größere Communityforen und auch das Ubuntuforums.org zu kompromittieren.

Häufig eingesetzte Softwareanwendungen, die nach ihrem Weiterverkauf mit böser Absicht manipuliert werden, sind offenbar bekannte Probleme in diesem Sektor. Sicherheitsexperten sagen, bei Browsererweiterungen gäbe es ähnliche Probleme. Es sei daher machbar, sämtliche gebräuchliche SDKs, Bibliotheken sowie andere Drittanbietern-Komponenten auch böswillig zu manipulieren.

Artikel von theregister.co.uk, 20.12.2017: WordPress captcha plugin on 300,000 sites had a sneaky backdoor

Artikel von bleepingcomputer.com, 19.12.2017: Backdoor Found in WordPress Plugin With More Than 300,000 Installations

 

WordPress schlägt sich mit manipulierten Plug-ins herum

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.