20 dic 2017

Backdoor encontrado en "Captcha" WordPress Plugin

El plugin "Captcha" de WordPress instalado en más de 300.000 sitios ha sido modificado recientemente para descargar e instalar un backdoor. El equipo de WordPress ha intervenido y eliminado este complemento del repositorio oficial de WordPress Plugins, que también proporciona versiones limpias para los clientes afectados.
Conocido solo como Captcha, el plugin de WordPress fue uno de los plugins más populares en el sitio oficial. Fue el trabajo de un desarrollador de plugins muy popular llamado BestWebSoft. Esta compañía está detrás de muchos otros plugins conocidos de WordPress.

BestWebSoft vendió la versión gratuita de su plugin Captcha a un nuevo desarrollador llamado Simply WordPress el 5 de septiembre, según una publicación en el sitio de la compañía.

Exactamente tres meses después de la venta, el nuevo propietario del complemento publicó Captcha versión 4.3.7, que contenía código malicioso que se conectaba al dominio simplywordpress.net y descargaba un paquete de actualización de complemento desde fuera del repositorio oficial de WordPress (en contra de sus reglas). Este paquete de actualización instalaba una puerta trasera en los sitios que usan el complemento.

"Este backdoor (puerta trasera) crea una sesión con el ID de usuario 1 (el usuario administrador predeterminado que crea WordPress cuando lo instala por primera vez), establece las cookies de autenticación y luego se elimina a sí mismo", dice Matt Barry, investigador de seguridad de Wordfence. "El código de instalación de la puerta trasera no tiene autenticación, lo que significa que cualquiera puede activarlo".

Actualización limpia

Además, también hay un código para activar una actualización limpia que elimina cualquier rastro de la puerta trasera, en caso de que el atacante decida borrar todas sus pistas.

Al principio esta actualización no llamó la atención de nadie. Lo que expuso la puerta trasera no fue una queja del usuario, sino un reclamo de derechos de autor del equipo de WordPress. Hace unos días, el equipo de WordPress eliminó el plugin Captcha de su sitio porque el nuevo autor del complemento había utilizado la marca comercial "WordPress" en su nombre y marca de complemento.

La eliminación del plugin del sitio de WordPress alertó al equipo de seguridad de Wordfence, una empresa que proporciona un firewall de aplicaciones web para sitios de WordPress. "Cada vez que el repositorio de WordPress elimina un complemento con una gran base de usuarios, verificamos si pudo ser debido a algo relacionado con la seguridad", dice Barry, explicando cómo llegaron a revisar el código del complemento y detectar la puerta trasera.

Una vez que detectaron la puerta trasera, Wordfence notificó al equipo de seguridad de WordPress. Gracias a ello se compiló una versión limpia del plugin Captcha (versión 4.4.5) e inmediatamente comenzaron a forzar la instalación en todos los sitios web afectados. Eliminaron así las versiones con código malicioso de los usuarios. Más de 100.000 sitios recibieron la versión limpia del plugin Captcha durante el fin de semana, dijeron desde el equipo de WordPress.

Fuente: Bleeping Computer

Suscríbete a nuestro Boletín

1 comentario:

  1. Hola Amigos como busco y elimino el backdoor!!!... llevo 7 días intentando pero sigue por allí...

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!