Versteckte Backdoor in WordPress Captcha-Plugin gefunden

WPLeider muss mal wieder ein Sicherheitsvorfall berichtet werden. In einem populären Captcha-Plugin, welches von 300.000 Websites eingebunden wurde, ist eine versteckte Backdoor gefunden worden.


Anzeige

Es ist das alte Spiel: Setzt man eine Software, eine App oder ein Plugin ein, muss man darauf vertrauen, dass dieses sauber ist.

Verkauftes Plugin kompromittiert

Der Vorfall ereignete sich vor kurzem, als der renommierte Entwickler BestWebSoft ein populäres Captcha WordPress-Plugin an einen unbekannten Käufer verkaufte. Dieser modifizierte das Plugin, um eine versteckte Hintertür herunterzuladen und zu installieren.

Die Sicherheitsforscher von WordFence haben in einem Blog-Beitrag die Details veröffentlicht und beleuchtet, warum WordPress kürzlich das mit 300.000 aktiven Installationen recht beliebte Captcha-Plugin aus dem Plugin-Repository entfernt hat.

Beider Analyse des Quellcodes des Captcha-Plugins fanden dienWordFence-Leute eine versteckte Backdoor. Diese ermöglichte es dem Plugin-Autor oder Angreifern remote einen administrativen Zugriff auf die WordPress-Websites zu erlangen, ohne dass eine Authentifizierung erforderlich wäre.


Anzeige

Das Plugin war so konfiguriert, dass es automatisch die Variante mit der Backdoor von einer Remote URL https[://]simplywordpress[dot]net/captcha/captcha_pro_update.php herunterladen und ohne Zustimmung des Site-Betreibers installieren konnte. Der Grund für das Hinzufügen einer Hintertür ist noch unklar. Aber wenn jemand einen stattlichen Betrag zahlt, um ein populäres Plugin mit einer großen Benutzerbasis zu kaufen, muss er ein starkes Interesse haben, irgend etwas kriminelles zu veranstalten.

Bei der Ermittlung der Identität des Captcha-Plugin-Käufers stellten die WordFence-Forscher fest, dass die simplewordpress[dot]net-Domain, die die Backdoor-Datei bedient, von jemandem namens "Stacy Wellington" registriert wurde. Dieser verwendete die E-Mail-Adresse "scwellington[at]hotmail.co.uk." Mit Reverse-Whois-Lookup fanden die Forscher eine große Anzahl anderer Domains, die für denselben Benutzer registriert sind, darunter Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha und Social Exchange.

Alle oben genannten Domains, die unter dem Benutzernamen registriert wurden, enthielten denselben Backdoor-Code, den die WordFence-Forscher in Captcha gefunden haben. WordFence hat sich mit WordPress zusammengetan, um die betroffene Version des Captcha-Plugins zu patchen und den Autor daran zu hindern, Aktualisierungen zu veröffentlichen. Daher wird den Administratoren von Websites dringend empfohlen, ihr Plugin durch die neueste offizielle Captcha-Version 4.4.5 zu ersetzen. Weitere Details finden sich bei The Hacker News.


Anzeige

Dieser Beitrag wurde unter Sicherheit, WordPress veröffentlicht. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Versteckte Backdoor in WordPress Captcha-Plugin gefunden

  1. Dieter Schmitz sagt:

    Diese ganzen Captchas sind sowieso ein Ärgernis.

    Ohne Logik wird da nach Strassenschildern oder Ladengeschäften gefragt. Manchmal hat man Glück, manchmal nicht.

    Wer hat sich den ganzen Quatsch ausgedacht?

    • Günter Born sagt:

      Ist mir auch schon aufgefallen. Ich mag auch keine Captchas, weil diese berechtigten Nutzern mit Beeinträchtigungen das Leben unnötig erschweren. Ich habe glücklicherweise für meinen Blog eine andere Lösung gefunden, um Kommentarspam ausfiltern zu können. So bleiben täglich nur noch wenige Spam-Kommentare von menschlichen Ameisen übrig, die ich manuell lösche.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.