Un plugin o complemento de WordPress instalado en más de 300.000 sitios se modificó recientemente para descargar e instalar un backdoor o puerta trasera oculta. El equipo de WordPress intervino y eliminó este complemento del repositorio oficial de complementos de WordPress, y también proporcionó versiones limpias para los clientes afectados.
Conocido solo como Captcha, el complemento fue uno de los complementos CAPTCHA más populares en el sitio oficial de WordPress y fue el trabajo de un desarrollador de complementos bien establecido llamado BestWebSoft, una compañía detrás de muchos otros complementos populares de WordPress.
Complemento vendido en septiembre, backdoor en diciembre
BestWebSoft vendió la versión gratuita de su complemento Captcha a un nuevo desarrollador llamado Simply WordPress el 5 de septiembre, según una publicación de blog en el sitio de la compañía.
Exactamente tres meses después de la venta, el nuevo propietario del complemento envió la versión 4.3.7 de Captcha, que contenía un código malicioso que se conectaría al dominio de simplewordpress.net y descargaría un paquete de actualización del complemento desde fuera del repositorio oficial de WordPress (en contra de las reglas de WordPress.org) . Este paquete de actualización astuto instalaría una puerta trasera en los sitios que usan el complemento.
“Esta puerta trasera crea una sesión con el ID de usuario 1 (el usuario administrador predeterminado que crea WordPress cuando lo instala por primera vez), establece cookies de autenticación y luego se elimina”, dice Matt Barry, investigador de seguridad de Wordfence. “El código de instalación de la puerta trasera no está autenticado, lo que significa que cualquiera puede activarlo”.
Además, también hay un código para activar una actualización limpia que elimina cualquier rastro de la puerta trasera, en caso de que el atacante decida borrar todas sus huellas.
Puerta trasera descubierta por accidente
Inicialmente, la actualización no llamó la atención de nadie y suponemos que habría continuado pasando desapercibida incluso hoy.
Lo que expuso la puerta trasera no fue una queja del usuario sino un reclamo de derechos de autor del equipo de WordPress. Hace unos días, el equipo de WordPress eliminó el complemento Captcha del sitio web oficial de WordPress.org porque el nuevo autor del complemento había usado la marca comercial “WordPress” en su nombre y en la marca del complemento.
La eliminación del complemento del sitio de WordPress alertó al equipo de seguridad de Wordfence, una empresa que proporciona un potente firewall de aplicaciones web (WAF) para sitios de WordPress.
“Cada vez que el repositorio de WordPress elimina un complemento con una gran base de usuarios, verificamos si posiblemente se deba a algo relacionado con la seguridad”, explicando cómo llegaron a revisar el código del complemento y detectar la puerta trasera.
El equipo de WordPress envía una versión del complemento sin código malicioso
Una vez que detectaron la puerta trasera, Wordfence notificó al equipo de seguridad de WordPress, que luego elaboró una versión limpia del complemento Captcha (versión 4.4.5), que inmediatamente comenzaron a instalar a la fuerza en todos los sitios web afectados, eliminando las versiones con puerta trasera de los usuarios. Más de 100.000 sitios recibieron la versión limpia del complemento Captcha durante el fin de semana, dijo el equipo de WordPress.
Desde que cruzó por primera vez la puerta trasera, el equipo de Wordfence ha dedicado su tiempo sin descanso a investigar los tratos de la empresa Simply WordPress.
Los expertos dicen que han descubierto paquetes de actualización de puerta trasera en el dominio SimplyWordPress.net para otros complementos de WordPress como:
- Covert me Popup
- Death To Comments
- Human Captcha
- Smart Recaptcha
- Intercambio social
Ninguno de estos nombres parece corresponder a complementos alojados en el repositorio oficial de WordPress.
El nuevo autor del complemento ha hecho esto antes
No obstante, las pistas en el dominio SimplyWordPress.net han puesto al equipo de Wordfence tras la pista de un conocido abusador al que conocieron y denunciaron en el pasado.
Según Barry, la empresa Simply WordPress parece estar conectada con Mason Soiza, una persona a la que vincularon previamente con puertas traseras en Display Widgets (+200000 instalaciones) y 404 a 301 (70.000 instalaciones).
Wordfence afirma que Soiza ha estado comprando complementos de WordPress y agregando código de puerta trasera a cada uno. Supuestamente, Soiza está utilizando las versiones de puerta trasera para insertar vínculos de retroceso ocultos a dominios de spam, incluso para Payday Loans, una empresa de la que es propietario. Todo el propósito de este negocio es ayudar a que los sitios de Soiza se clasifiquen mejor en los resultados de búsqueda.
Todas estas conexiones se explican en detalle en dos informes de WordFence, uno que detalla la reciente puerta trasera de Captcha y otro que detalla incidentes pasados.
Neothek ofrece servicios de web hosting, registro de dominios, correo electrónico, certificados SSL, diseño de páginas web y diseño gráfico.
