{"id":198802,"date":"2017-12-20T17:13:49","date_gmt":"2017-12-20T16:13:49","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=198802"},"modified":"2017-12-20T19:20:33","modified_gmt":"2017-12-20T18:20:33","slug":"versteckte-backdoor-in-wordpress-captcha-plugin-gefunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/12\/20\/versteckte-backdoor-in-wordpress-captcha-plugin-gefunden\/","title":{"rendered":"Versteckte Backdoor in WordPress Captcha-Plugin gefunden"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" title=\"WordPress\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" border=\"0\" alt=\"WP\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/07\/wp_thumb.jpg\" width=\"64\" align=\"left\" height=\"64\"\/>Leider muss mal wieder ein Sicherheitsvorfall berichtet werden. In einem popul\u00e4ren Captcha-Plugin, welches von 300.000 Websites eingebunden wurde, ist eine versteckte Backdoor gefunden worden. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/397bd75c64d84f939653e893b99f3cc8\" width=\"1\" height=\"1\"\/>Es ist das alte Spiel: Setzt man eine Software, eine App oder ein Plugin ein, muss man darauf vertrauen, dass dieses sauber ist. <\/p>\n<h2>Verkauftes Plugin kompromittiert<\/h2>\n<p>Der Vorfall ereignete sich vor kurzem, als der renommierte Entwickler BestWebSoft ein popul\u00e4res Captcha WordPress-Plugin an einen unbekannten K\u00e4ufer verkaufte. Dieser modifizierte das Plugin, um eine versteckte Hintert\u00fcr herunterzuladen und zu installieren.<\/p>\n<p>Die Sicherheitsforscher von WordFence haben in einem <a href=\"https:\/\/www.wordfence.com\/blog\/2017\/12\/backdoor-captcha-plugin\/\" target=\"_blank\">Blog-Beitrag<\/a> die Details ver\u00f6ffentlicht und beleuchtet, warum WordPress k\u00fcrzlich das mit 300.000 aktiven Installationen recht beliebte Captcha-Plugin aus dem Plugin-Repository entfernt hat. <\/p>\n<p>Beider Analyse des Quellcodes des Captcha-Plugins fanden dienWordFence-Leute eine versteckte Backdoor. Diese erm\u00f6glichte es dem Plugin-Autor oder Angreifern remote einen administrativen Zugriff auf die WordPress-Websites zu erlangen, ohne dass eine Authentifizierung erforderlich w\u00e4re.<\/p>\n<p><ins><\/ins><ins> <\/p>\n<p><\/ins> <\/p>\n<p>Das Plugin war so konfiguriert, dass es automatisch die Variante mit der Backdoor von einer Remote URL <em>https[:\/\/]simplywordpress[dot]net\/captcha\/captcha_pro_update.php<\/em> herunterladen und ohne Zustimmung des Site-Betreibers installieren konnte. Der Grund f\u00fcr das Hinzuf\u00fcgen einer Hintert\u00fcr ist noch unklar. Aber wenn jemand einen stattlichen Betrag zahlt, um ein popul\u00e4res Plugin mit einer gro\u00dfen Benutzerbasis zu kaufen, muss er ein starkes Interesse haben, irgend etwas kriminelles zu veranstalten.<\/p>\n<p>Bei der Ermittlung der Identit\u00e4t des Captcha-Plugin-K\u00e4ufers stellten die WordFence-Forscher fest, dass die simplewordpress[dot]net-Domain, die die Backdoor-Datei bedient, von jemandem namens \"Stacy Wellington\" registriert wurde. Dieser verwendete die E-Mail-Adresse \"scwellington[at]hotmail.co.uk.\" Mit Reverse-Whois-Lookup fanden die Forscher eine gro\u00dfe Anzahl anderer Domains, die f\u00fcr denselben Benutzer registriert sind, darunter Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha und Social Exchange.<\/p>\n<p>Alle oben genannten Domains, die unter dem Benutzernamen registriert wurden, enthielten denselben Backdoor-Code, den die WordFence-Forscher in Captcha gefunden haben. WordFence hat sich mit WordPress zusammengetan, um die betroffene Version des Captcha-Plugins zu patchen und den Autor daran zu hindern, Aktualisierungen zu ver\u00f6ffentlichen. Daher wird den Administratoren von Websites dringend empfohlen, ihr Plugin durch die neueste offizielle Captcha-Version 4.4.5 zu ersetzen. Weitere Details finden sich bei <a href=\"https:\/\/thehackernews.com\/2017\/12\/wordpress-security-plugin.html\" target=\"_blank\">The Hacker News<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Leider muss mal wieder ein Sicherheitsvorfall berichtet werden. In einem popul\u00e4ren Captcha-Plugin, welches von 300.000 Websites eingebunden wurde, ist eine versteckte Backdoor gefunden worden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[],"class_list":["post-198802","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198802","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=198802"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198802\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=198802"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=198802"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=198802"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}