Zeci de plug-in-uri WordPress, compromise cu backdoor după schimbarea proprietarului Essential Plugin

Mai multe zeci de plug-in-uri pentru popularul software open source de blogging web WordPress au fost scoase offline după ce în acestea a fost descoperit un backdoor, folosit pentru a trimite cod malițios către orice site care se baza pe aceste extensii. Backdoor-ul a fost depistat după ce un nou proprietar corporativ a cumpărat aceste plug-in-uri, iar problema a ieșit la iveală ulterior.

Fondatorul Anchor Hosting, Austin Ginder, a tras semnalul de alarmă într-o postare pe blog săptămâna trecută, descriind un atac asupra lanțului de aprovizionare care a vizat un dezvoltator de plug-in-uri WordPress numit Essential Plugin. Potrivit lui Ginder, cineva a cumpărat anul trecut Essential Plugin, iar la scurt timp backdoor-ul a fost adăugat în codul sursă al extensiilor. Acest backdoor a rămas inactiv până la începutul acestei luni. Apoi s-a activat și a început să distribuie cod malițios către orice site care avea plug-in-urile instalate.

Essential Plugin susține pe site-ul său că are peste 400 000 de instalări de plug-in-uri și mai mult de 15 000 de clienți. Pagina oficială de instalare a plug-in-urilor WordPress indică faptul că extensiile afectate se află în prezent în peste 20 000 de instalări WordPress active, ceea ce arată o expunere semnificativă.

Plug-in-urile permit proprietarilor de site-uri bazate pe WordPress să extindă funcționalitățile platformei. În schimbul acestor avantaje, extensiile primesc acces la instalările WordPress, ceea ce poate deschide site-urile către module rău intenționate și compromisuri potențiale. Ginder a avertizat că utilizatorii WordPress nu sunt informați atunci când un plug-in își schimbă proprietarul, lucru care îi expune la posibile atacuri de preluare ostilă din partea noilor deținători ai codului.

Conform lui Ginder, acesta este al doilea caz de deturnare a unui plug-in WordPress descoperit într-un interval de doar câteva săptămâni. Cercetătorii în securitate atrag de mult timp atenția asupra riscurilor generate de actori malițioși care cumpără software și îi modifică ulterior codul, cu scopul de a compromite un număr mare de calculatoare și site-uri la nivel mondial.

Chiar dacă aceste plug-in-uri au fost eliminate din directorul oficial WordPress și figurează acum cu statutul de închidere „permanentă”, Ginder insistă ca proprietarii de site-uri WordPress să verifice dacă mai au instalat vreunul dintre plug-in-urile compromise și să îl elimine imediat. Lista completă a extensiilor afectate este disponibilă în postarea sa de pe blog.

Reprezentanții Essential Plugin nu au răspuns solicitărilor de comentarii cu privire la incident, mentinand astfel numeroase semne de intrebare despre modul în care a fost gestionată situația și despre măsurile pe care compania intenționează să le ia pe viitor.