Un plugin de
WordPress instalado en más de 300.000 sitios ha sido modificado recientemente
para descargar e instalar una puerta trasera oculta. El equipo de WordPress ha
intervenido y eliminado este complemento del repositorio oficial de WordPress
Plugins, que también proporciona versiones limpias para los clientes afectados.
Como sabemos se trata de un sistema de gestión de contenidos muy popular.
Puerta trasera en un plugin de WordPress
Conocido solo como
Captcha, el plugin de WordPress fue uno de los plugins CAPTCHA más populares en
el sitio oficial. Fue el trabajo de un desarrollador de plugins muy popular
llamado BestWebSoft. Esta compañía está detrás de muchos otros plugins
conocidos de WordPress.
BestWebSoft vendió la
versión gratuita de su plugin Captcha a un nuevo desarrollador llamado Simply
WordPress el 5 de septiembre, según una publicación en el sitio de la compañía.
Exactamente tres
meses después de la venta, el nuevo propietario del complemento envió Captcha
versión 4.3.7, que contenía código malicioso que se conectaría al dominio
simplywordpress.net y descarga un paquete de actualización de complemento desde
fuera del repositorio oficial de WordPress (en contra de las reglas de
WordPress.org) . Este paquete de actualización furtivo instalaría una puerta
trasera en los sitios que usan el complemento.
Puerta trasera en WordPress
“Este backdoor
(puerta trasera) crea una sesión con el ID de usuario 1 (el usuario
administrador predeterminado que crea WordPress cuando lo instala por primera
vez), establece las cookies de autenticación y luego se elimina a sí mismo”,
dice Matt Barry, investigador de seguridad de Wordfence. “El código de
instalación de la puerta trasera no está autenticado, lo que significa que
cualquiera puede activarlo”.
Actualización limpia
Además, también hay
un código para activar una actualización limpia que elimina cualquier rastro de
la puerta trasera, en caso de que el atacante decida borrar todas sus pistas.
Al principio esta
actualización no llamó la atención de nadie. Lo que expuso la puerta trasera no
fue una queja del usuario, sino un reclamo de derechos de autor del equipo de
WordPress. Hace unos días, el equipo de WordPress eliminó el plugin Captcha del
sitio web oficial de WordPress.org porque el nuevo autor del complemento había
utilizado la marca comercial “WordPress” en su nombre y marca de complemento.
La eliminación del
plugin del sitio de WordPress alertó al equipo de seguridad de Wordfence. Se
trata de una empresa que proporciona un poderoso firewall de aplicaciones web
para sitios de WordPress.
“Cada vez que el
repositorio de WordPress elimina un complemento con una gran base de usuarios,
verificamos si pudo ser debido a algo relacionado con la seguridad”, dice
Barry, explicando cómo llegaron a revisar el código del complemento y detectar
la puerta trasera.
Una vez que
detectaron la puerta trasera, Wordfence notificó al equipo de seguridad de
WordPress. Gracias a ello compiló una versión limpia del plugin Captcha
(versión 4.4.5). Inmediatamente comenzaron a forzar la instalación en todos los
sitios web afectados. Eliminaron así las versiones con código malicioso de los
usuarios. Más de 100.000 sitios recibieron la versión limpia del plugin Captcha
durante el fin de semana, dijeron desde el equipo de WordPress.
Fuente: Bleeping
Computer