Plugin WordPress yang dipasang oleh lebih dari 300.000 situs baru-baru ini dimodifikasi untuk mendownload dan menginstal backdoor tersembunyi. Tim WordPress telah melakukan intervensi dan menghapus plugin ini dari repositori WordPress Plugins resmi, juga menyediakan versi bersih untuk pelanggan yang terkena dampak.

Dikenal sebagai plugin Captcha, plugin tersebut adalah salah satu plugin CAPTCHA terpopuler untuk situs WordPress dan merupakan karya pengembang plugin mapan bernama BestWebSoft, perusahaan di balik banyak plugin WordPress populer lainnya.

Plugin dijual pada bulan September, menyisipkan backdoor pada bulan Desember

BestWebSoft menjual versi gratis plugin Captcha nya ke pengembang baru bernama Simply WordPress pada tanggal 5 September, menurut sebuah posting blog di situs perusahaan.

Tepat tiga bulan setelah penjualan, pemilik baru plugin tersebut mengirimkan plugin Captcha versi 4.3.7, yang berisi kode berbahaya yang akan terhubung ke domain simplywordpress[.]net dan mendownload paket update plugin dari luar repositori WordPress resmi (melawan aturan WordPress.org). Paket pembaruan berbahaya ini akan menginstal backdoor di situs yang menggunakan plugin tersebut.

Backdoor ini menciptakan sesi dengan ID pengguna 1 (pengguna admin default yang dibuat WordPress saat Anda menginstalnya), menyetel cookies otentikasi, dan kemudian menghapusnya sendiri,” kata Matt Barry, peneliti keamanan Wordfence. “Kode instalasi backdoor tidak diotentikasi, artinya siapa pun bisa memicunya.

Selanjutnya, ada juga kode untuk memicu pembaruan bersih yang menghilangkan jejak backdoor, yang disiapkan penyerang jika memutuskan untuk menghapus semua jejaknya.

Backdoor ditemukan secara tidak sengaja

Awalnya, update tidak menangkap apapun dan para peneliti keamanan kira itu akan terus terbang di bawah radar bahkan sampai hari ini.

Yang terkena backdoor bukanlah keluhan pengguna tapi klaim hak cipta dari tim WordPress. Beberapa hari yang lalu, tim WordPress memindahkan plugin Captcha dari situs WordPress.org resmi karena penulis baru plugin tersebut telah menggunakan merek dagang “WordPress” atas namanya dan plugin branding.

Penghapusan plugin dari situs WordPress memberi tahu tim keamanan di Wordfence, perusahaan yang menyediakan Web Application Firewall (WAF) yang bagus untuk situs WordPress.

Setiap kali repositori WordPress menghapus sebuah plugin dengan basis pengguna yang besar, kami memeriksa apakah itu mungkin karena sesuatu yang berhubungan dengan keamanan,” kata Barry, menjelaskan bagaimana mereka datang untuk meninjau kode plugin dan menemukan backdoor tersebut.

Tim WordPress mengirimkan versi plugin tanpa kode berbahaya

Begitu mereka melihat backdoor, Wordfence memberi tahu tim keamanan WordPress, yang kemudian mengeluarkan versi plugin Captcha yang bersih (versi 4.4.5), yang segera mereka mulai instal ulang di semua situs web yang terkena dampak, menghapus versi backdoor dari pengguna. Lebih dari 100.000 situs menerima versi bersih plugin Captcha selama akhir pekan, kata tim WordPress.

Sejak pertama kali menemukan backdoor, tim Wordfence tanpa henti meluangkan waktunya untuk melihat-lihat urusan perusahaan Simply WordPress.

Para ahli mengatakan mereka telah menemukan paket pembaruan backdoor di domain simplywordpress[.]net untuk plugin WordPress lainnya seperti:

  • Covert me Popup
  • Death To Comments
  • Human Captcha
  • Smart Recaptcha
  • Social Exchange

Penulis baru plugin telah melakukan ini sebelumnya

Menurut Barry, perusahaan Simply WordPress tampaknya terhubung dengan Mason Soiza, seorang individu yang sebelumnya mereka kenal dengan backdoor di Widget Display (+200.000 pemasangan) dan 404 sampai 301 (70.000 pemasangan).

Wordfence mengklaim Soiza telah membeli plugin WordPress dan menambahkan kode backdoor ke masing-masing plugin. Soiza diduga menggunakan versi backdoor untuk memasukkan backlink tersembunyi ke domain spam, termasuk untuk Payday Loans, perusahaan yang dimilikinya. Seluruh tujuan bisnis ini adalah untuk membantu situs Soiza berprestasi lebih baik di hasil pencarian.

Semua koneksi ini dijelaskan dengan rincian yang bagus dalam dua laporan WordFence, yang merinci backdoor Captcha yang baru-baru ini, dan rincian kejadian lainnya.