В пятницу, 29 марта, аналитик угрозы Wordfence Майки Veenstra опубликовал доклад с кодом примеры бэкдоров Pipdig встроенный в их плагин, наряду с некоторыми сомнительными и сомнительными дополнениями к коду.
«Мы подтвердили, что плагин, Pipdig Power Pack (или P3), содержит код, который был запутан с вводящими в заблуждение переменных имен, функциональных имен и комментариев, с тем чтобы скрыть эти возможности», veenstra сказал.
К ним относятся непроверенные сбросить пароль на жестко закодированную строку, которая была намеренно заслонена комментариями кода, указывающими, что она была добавлена для «проверки новых социальных каналов для добавления в navbar». Veenstra также продемонстрировал, как плагин содержал код для недостоверного удаления базы данных, в котором команда Pipdig может удаленно уничтожить любой сайт WordPress сайт с помощью плагина P3.
Код для удаленного удаления сайта был удален в версии 4.8.0, но он по-прежнему вызывает беспокойство у пользователей, которые не обновились. Майкл Уотерфолл (Michael Waterfall), инженер iOS в ASOS, протестировал функцию «переключателя убийства» и продемонстрировал, что она по-прежнему работает с предыдущими версиями.
Это также подтверждает, что они лгали. Они по-прежнему имеют возможность уничтожить любой блог, который не обновляется до новой версии плагина (4.8.0), который они поспешно выпустили, чтобы удалить выключатель убить после того, как они были выставлены на днях. pic.twitter.com/bNMfRQUBpr
— Майкл Уотерфолл (@mwaterfall) 31 марта 2019 г.
Расследование Veenstra также обнаружило сомнительные удаленные звонки в событиях плагина, нераскрытый контент и перезаписи конфигурации, а также список популярных плагинов, которые немедленно деактивируются при активации P3 без ведома пользователя. Он обнаружил, что некоторые из этих плагинов деактивированы вместе с админ-инитом, поэтому любые попытки пользователя активировать плагины не будут прилипать.
Wordfence оценки P3 плагин иметь базу установки 10000-15000 сайтов. Изменения, внесенные в версию 4.8.0 плагина, не прозрачно определены в журнале изменений, поэтому пользователям нелегко узнать, что изменилось. Фильтрация содержимого и деактивация плагина остаются в последнем выпуске. Эти типы завуалированных функций, выполняемых без разрешения, могут иметь непредвиденные последствия для сайтов, использующих плагин, который нетехнические пользователи могут не иметь возможности исправить себя.
Pipdig P3 Plugin выполнил DDoS-атаку на сайт конкурента
Джем Тернер, внештатный веб-разработчик, базирующийся в Великобритании, опубликовал длительный анализ плагина P3 в тот же день, что Wordfence выпустила свой анализ. Она просверлила вниз дальше в удаленных запросов, демонстрируя, как Pipdig использует плагин P3 для выполнения DDoS-атаки на конкурента, который также предоставляет WordPress темы и услуги установки для блоггеров. Код запускает почасовую работу cron на сайтах пользователей, эффективно используя серверы своих клиентов для отправки вредоносных запросов на сайт конкурента.
Комментарий кода говорит нам, что это «проверка CDN (сеть доставки контента) кэш». Нет. Это выполняет запрос GET на файл (id39dqqm3c0’license’h.txt) сидел на pipdigz.co.uk, который вчера утром вернулся «https://kotrynabassdesign.com/wp-admin/admin-ajax.php» в ответ тела.
Каждый час ночь и день, без какого-либо ручного вмешательства, любой блоггер работает плагин pipdig отправит запрос с поддельными пользовательского агента на «https://kotrynabassdesign.com/wp-admin/admin-ajax.php» со случайным числом строки прилагается. Это эффективно выполняет небольшой dDoS (Распределенный отказ от обслуживания) на сервере kotrynabassdesign.com.
Тернер также связался с Kotryna Bass, конкурент Пипдиг, который сказал, что она связалась со своим хозяином, обнаружив, что ее admin-ajax.php файл был под какой-то атаки. Обмены Басс с ее хозяином также опубликованы в докладе Тернера.
Пост Тернера объяснил, как P3 плагин код Pipdig манипулировали ссылки, чтобы указать на свои собственные продукты и услуги, когда пользователь включает в себя ссылку на конкурента в содержании:
Здесь у нас есть плагин pipdig в поисках упоминаний о «blogerize.com» со строкой разделить на две части и вернулся — concatenated — чтобы сделать его труднее найти упоминания о конкурентах при выполнении массы «Найти в файлах» через плагин (среди прочего). Когда плагин находит ссылки на blogerize.com в содержании блоггера (сообщения, страницы), они обменялись ссылкой на «pipdig.co/shop/blogger-to-wordpress-migration/», т.е. pipdig собственного блога миграционных служб. Замена этих ссылок из увеличить ПРЕИМУЩЕСТВО SEO pipdig, и подавляющее большинство блоггеров не заметят switcheroo (особенно, если страница / пост был отредактирован, ссылка на blogerize появится в бэкэнд, как обычно).
Плагин не запрашивал разрешения пользователей перед выполнением каких-либо из этих действий, и большинство из них были реализованы с запутанный код. Расследование Тернера также охватывает, как плагин P3 может собирать данные и изменять пароли админа. Многие из выводов совпадают с анализом Wordfence.
«Я знал, что Wordfence связался за мнение, хотя я не знал, что они писали сообщение, и наоборот», сказал Тернер. «Я не был удивлен, что они писали об этом, хотя, учитывая риск для пользователей WordPress».
Она была в контакте с властями в отношении неэтичной практики кодирования Пипдига и нарушения конфиденциальности.
«С моей стороны вещей, я был в контакте с действиями Мошенничества (представил доклад через свой веб-сайт) и NCSC (который указал мне на действия мошенничества и дал мне номер для вызова). Со стороны pipdig, Есть угрозы судебного иска в своем блоге, но я ничего не получил еще «.
Общественный ответ Пипдига юбки критические проблемы
Pipdig креативный директор Фил Clothier опубликовал общественный ответ от компании, которая открывается, характеризуя последние расследования, как «различные обвинения и слухи, распространяющиеся о pipdig» и включает в себя эмоциональный призыв о том, как тревожные последние события были для его компании. Он утверждает, что его команда и их сторонники подвергаются преследованиям.
После нажатия из 4.8.0 версия плагина P3, удаление некоторых, но не все наступательные код, Clothier выбирает формат стиля для своего поста, поставив каждый вопрос в настоящее время:
Вы DDOS конкурентов?
Нет.Вы «убить» сайты?
Нет!У вас есть возможность убивать сайты через pipdig Power Pack?
Нет
Что касается функции «убить переключатель», они встроены в, который обнаруживает все таблицы с приставкой WordPress и падает каждый из них, Clothier сказал, что это просто функция сбросить сайт обратно в его настройки по умолчанию. Он намеренно исказил то, что он делает:
В старой версии плагина была функция, которая могла быть использована для сброса сайта к настройкам по умолчанию. Эта функция не имела риска злонамеренного или непреднамеренного использования. Я могу сказать категорически, что не было никакого риска для вашего сайта, если вы используете тему pipdig. Эта функция была выкопана и помечена как «Убить переключатель» для максимального негативного воздействия на нас.
Clothier утверждает, что функция была доступна в P3 плагин в июле 2018 года, когда третья сторона начала размещение Pipdig темы для продажи на своем собственном сайте:
Третья сторона смогла скачать все наши темы незаконно и разместить их на клон нашего собственного сайта. Это включало в себя предварительные просмотры наших тем и возможность приобрести их. Мы были впервые предупреждены об этом люди, которые приобрели тему pipdig оттуда, но были выводы, что некоторые функции не работают правильно. После расследования мы обнаружили, что жертва приобрела тему у третьей стороны, думая, что это мы. Третья сторона не только получила финансовую выгоду от оплаты темы, но и использовала ее как способ впрыскивать вредоносные программы и объявления на сайт жертвы. Функция сбросить была введена в действие для того, чтобы удалить способность третьей стороны провести предварительный просмотр сайтов с нашими темами. Это сработало, и с тех пор они исчезли. Функция была удалена в более поздней версии плагина.
Это ложное утверждение, как Wordfence указал в обновленной статье. Первый экземпляр кода, ответственного за удаление базы данных, был совершен плагином в ноябре 2017 года.
Компания не смогла решить наиболее важные проблемы, представленные в анализе Wordfence в своем первом проходе при выпуске публичного заявления. Вместо этого, по вопросу координации DDoS-атаки на конкурентов, Пипдиг обвиняет пользователей и предполагает, что они, возможно, добавили URL-адрес конкурента на свои сайты.
«Мы сейчас изучаем, почему эта функция возвращает этот URL», сказал Clothier. «Однако, похоже, предположить, что некоторые из «Автор URL-адреса» были установлены на «kotrynabassdesign.com». В настоящее время мы не знаем, почему это так, или же владелец сайта намеренно изменил это «.
Дальнейшие исследования, опубликованные Wordfence сегодня показали, что Pipdig также добавил DDoS код в свои шаблоны Blogger и активно выдачи вредоносных запросов до вчерашнего дня:
Во время расследования Pipdig в WordPress плагин и темы, мы также наткнулись на некоторые любопытные код, связанный с их Blogger темы. Этот код является частью предполагаемой DDoS-кампании Пипдига против своего конкурента, и был активен до 1 апреля, через четыре дня после того, как Пипдиг отрицал такое поведение.
Некоторые из тем Blogger Pipdig были подтвержено для того чтобы сделать внешние звоноки JavaScript к серверу Pipdig, специфически к сценарию hXXps://pipdigz». со.» uk/js/zeplin1.js.
31 марта, когда расследование стало достоянием общественности, Пипдиг удалил свой публичный репозиторий Bitbucket и заменил его на «чистый», удалив три года истории фиксации. Wordfence и многие другие клонировали репозиторий, прежде чем он был удален и сохранены снимки страниц, чтобы привести в расследовании.
Это чистый репозиторий @pipdig опубликованы ранее сегодня вместо одного, содержащего все их вредоносный код … Они изменили указанную дату релиза версии 4.8.0. pic.twitter.com/YqKASTUZE7
— Ники Блур (@nickstadb) 1 апреля 2019 г.
Публичное заявление Пипдига содержит ряд других ложных утверждений, изложенных в последующей статье Wordfence с примерами кода. Clothier закрывает статью литья aspersion на прессе, предположительно, чтобы побудить клиентов не доверять тому, что они читают из других источников.
Я связался с Pipdig за их комментарий по последним событиям, но Clothier отказался отвечать на любой из моих вопросов. Одним из них было то, почему плагин отключает плагин Bluehost в кэширование без информирования клиентов.
Еще один из @pipdig плагина. Если вы используете одну из своих тем на @bluehost то они намеренно замедлить ваш сайт вниз, отключив BlueHost кэш плагин, то они могут вводить содержимое с заголовком «Является ли ваш хозяин замедляет вас?» @jemjabella @jemjabella pic.twitter.com/48DUXsDyBj @heyitsmikeyv @jemjabella
— Ники Блур (@nickstadb) 31 марта 2019 г.
Клотье сказал, что у него нет никаких комментариев, кроме того, что он сказал в публичном заявлении, но призвал всех, кто заинтересован читать новые комментарии, добавленные в код в версии 4.9.0:
Мы также обновили версию 4.9.0 плагина, который включает в себя дополнительные комментарии в коде, который, мы надеемся, поможет прояснить такие вещи, как проблемы с кэшированием Bluehost и фильтром the’content(.
Если кто-то не уверен, мы рекомендуем обновлять последнюю версию, как всегда. Однако мы также утверждаем, что предыдущие версии не имели серьезных проблем тоже.
Пипдиг отказался отвечать на вопросы о лицензировании, но продукты, как представляется, не GPL-лицензии. Возможно, именно поэтому компания сочла это в рамках своих прав принять меры в отношении тех, кто, по их мнению, «украл» их темы.
Pipdig Клиенты Доля Смешанная реакция на сообщения о поставщика Backdoors и DDoS-атак
В то, что, пожалуй, один из самых наглых злоупотреблений я когда-либо видел от темы компании в истории WordPress, пользовательская база Pipdig неосознанно были использованы для целевой компании конкурентов. Независимо от мотива компании в борьбе с несанкционированным распространением их тем, эти типы бэкдоров и нераскрытых перезаписей контента не оправданы. Они охотятся на доверие пользователей и в этом случае жертвами были в первую очередь блоггеры.
Я думаю, именно поэтому многие из нас так злятся. Блоггеры являются источником жизненной силы #WordPress,вы создаете контент и по большей части не имеют больших бюджетов тратить. Поэтому, когда кто-то использует в своих интересах, что те, на «низкий бюджет» конце рынка, те, которые наклоняю позволить себе разработчиков …
— Энди Пауэлл (@p0welly) 31 марта 2019 г.
Одним из наиболее загадочных аспектов этой истории является то, что многие из пользователей Pipdig, кажется, равнодушны к тяжести выводов в этих докладах. Без полного знания внутренней работы продукта, многие клиенты принимают решения, основанные на том, как они относятся к компании, независимо от того, сталкиваются с фактами, которые должны заставить их поставить под сомнение их опыт.
Меня это не волнует. Я доверяю им. И я, конечно, не паниковать и действовать на словах двух блогах со ссылкой на своих конкурентов. Они служили мне хорошо в течение многих лет.
— Кэролайн Хиронс (@CarolineHirons) 29 марта 2019 г.
Другие злятся, что их сайты использовались в атаке. Настройка новой темы не является тривиальной задачей для нетехнических пользователей, которым, возможно, пришлось заплатить разработчику, чтобы запустить свои сайты в первую очередь.
Честно? Я очень зол. Я доверял им в течение многих лет, и в свою очередь мой сайт был использован злонамеренно против других малых предприятий. Я наблюдал за этим разворачиваться с пятницы, но даже это обновление потрясло меня. https://t.co/mPsO8EoHBp
— Шарлотта (@bycharlotteann_) 2 апреля 2019 г.
«Мой ум абсолютно взорван общественного ответа pipdig», Джем Тернер сказал. «Я понимаю, что они рассчитывали на своих пользователей полностью не-тек фон bamboozle их, и это, конечно, казалось, работает в начале, но любой, кто даже малейшего немного знания кодирования можно увидеть, что они лгут, и я действительно не понять, как они думают, что они сойдет с рук «.
Сумасшедшая часть, если мы хотим быть действительно реальным об этом, это больше похоже
Кабель парень вырезал большое отверстие в моей стене и установил дверную ручку на нем. Он взял ленту какого-то художника и нацарапал «ЭТО КЕйБЛ БОКС» на гипсокартоне. Потом посмотрел мне в глаза и сказал: «Нет, я не сделал».
— Майки Веенстра (@heyitsmikeyv) 31 марта 2019 г.
Этот инцидент освещает, насколько нерегулируемым является коммерческий плагин и тематиная экосистема и как мало защиты пользователей от компаний, злоупотребляющих своей властью. Если вы являетесь клиентом Pipdig, пострадавших от этого инцидента, нет никаких гарантий того, что компания не будет строить больше бэкдоров на ваш сайт в будущем. Обновления плагина не рассматриваются каким-либо органом. К счастью, есть несколько действий, которые вы можете предпринять, чтобы создать более безопасную среду для вашего сайта.
Во-первых, ищите GPL лицензированных тем и плагинов, потому что они дают вам больше свобод, как пользователь и совместимы с WordPress ‘юридической лицензии. Продукты, лицензированные GPL, также являются убедительным свидетельством того, что авторы уважают свободы пользователей и общие экономические принципы, которые поддерживает эта лицензия с открытым исходным кодом.
Многие авторитетные тематические компании предпочитают размещать плагины-компаньоны своей продукции на WordPress.org для удобства распространения и доставки обновлений. Официальный каталог не позволяет такого рода теневые практики кодирования, описанные в этой статье, и все плагины пройти обзор безопасности WordPress Plugin команды. Если вы обеспокоены качеством кода и потенциалом для злоупотреблений, сделать небольшое исследование на ваш следующий перспективных коммерческих поставщиков темы или выбрать бесплатный WordPress.org-хостинг атакжем и плагинов, которые прошли более строгий процесс проверки.
Оригинал: wptavern.com
