Xakep #240. Ghidra

• Содержание выпуска


• Подписка на «Хакер»

Волна атак на плагины для WordPress продолжает набирать обороты. Напомню, что на прошлой неделе неизвестные злоумышленники атаковали уязвимость в составе плагина Yuzo Related Posts. В итоге преступники получили возможность перенаправлять посетителей пострадавших сайтов на различные скамерские ресурсы, от фальшивой технической поддержки, до страниц с рекламой или фейковыми обновлениями ПО, за которыми скрывается малварь.

Эксперты компаний Defiant и Sucuri, предупреждали, что за эксплуатацией уязвимости в Yuzo Related Posts стоит та же преступная группа, которая в прошлом месяце использовала для атак 0-day баги в других плагинах, Easy WP SMTP и Social Warfare.

Теперь похожая участь постигла плагин Yellow Pencil Visual Theme Customizer, установленный более 30 000 раз. В настоящее время он по-прежнему удален из официального репозитория WordPress, хотя разработчики уже выпустили исправление, закрывающее используемую преступниками брешь.

Специалисты компании Wordfence объясняют, что плагин подвергся атакам после безответственного и опасного поступка неназванного ИБ-исследователя: тот опубликовал в блоге описание двух уязвимостей в Yellow Pencil Visual Theme Customizer и приложил к своему отчету PoC-эксплоит.

Журналисты издания ArsTechnica поясняют, что во всех вышеописанных случаях эксплуатация уязвимостей началась после публикации эксплоитов и описания проблем на сайте Plugin Vulnerabilities, который позиционируется как сервис-провайдер по поиску багов в WordPress-плагинах, но никакой конкретики об этой компании неизвестно. В каждом случае обнародованных технических деталей и кода было достаточно для того, чтобы злоумышленники быстро взяли уязвимости на вооружение и приступили к атакам. При этом до публикаций эксплоитов активных атак на проблемы зафиксировано не было.

Интересно, что все три эксплоита обнародовал один и тот же неназванный исследователь, и в постах на Plugin Vulnerabilities подчеркивалось, что тот делает это в знак протеста, так как его не устраивает политика модерации на официальных форумах поддержки WordPress.

Представителям ArsTechnica удалось связаться с этим анонимным исследователем и узнать его версию событий. Специалист объяснил, что предпочитает сначала обнародовать информацию о багах, а уже после пытается уведомить о них разработчиков плагинов. Выйти на контакт с девелоперами он пытался через упомянутые официальные форумы поддержки WordPress, однако выяснилось, что «местные модераторы слишком часто удаляют подобные сообщения, никого об этом не предупредив».

При этом подчеркивается, что в случаях Yuzo Related Posts и Yellow Pencil исследователь обратил внимание на плагины и изучил их уже после неожиданного удаления из официального репозитория. Теперь он признает, что нынешняя эксплуатация багов и атаки на плагины могут быть обусловлены как его постами с PoC-эксплоитами, так и быть следствием неких параллельных процессов.

При этом аноним подчеркнул, что между публикацией эксплоита для Yuzo Related Posts и первыми атаками прошло 11 дней, а значит, у разработчиков достаточно времени для исправления проблемы. Более того, исследователь еще раз подчеркнул, что если бы модераторы официальных форумов WordPress справлялись со своими обязанностями, никак проблем бы не возникло, а пользователи не подвергались бы опасности.

Журналисты ArsTechnica попытались понять, куда уходят корни этой вражды с модераторами и кому принадлежит Plugin Vulnerabilities.

Представители издания заметили, что в «подвале» сайта Plugin Vulnerabilities можно найти копирайт компании White Fir Designs, LLC, а whois доменов pluginvulnerabilities.com и whitefirdesign.com показал, что их владельцем числится White Fir Designs of Greenwood Village в Колорадо. Сверившись с открытой базой бизнес-данных штата Колорадо, журналисты обнаружили, что компания White Fir Designs была основана в 2006 году, человеком по имени Джон Майкл Гриллот (John Michael Grillot).

Согласно этой публикации на Reddit, вражда исследователя с модераторами началась давно, так как он открыто публиковал на форумах информацию о еще незакрытых багах, а модераторы удаляли сначала сами посты, а затем и вовсе заблокировали аккаунт специалиста. Так, согласно этому сообщению в Medium, исследователю дали пожизненный бан, однако он продолжил свою деятельность, уже используя подставные аккаунты. К тому же в архивах Plugin Vulnerabilities можно найти запись, датированную еще 2016 годом, в которой тоже поднимается вопрос конфликта самопровозглашенного поставщика услуг безопасности с поддержкой официальных форумов WordPress.