Plugin för WordPress attackerar andra webbplatser

av Mikael Winterkvist | apr 1, 2019

Pipdig, utvecklare av teman och plugins från WordPress har avslöjats med att lägga in kod som leder till att användares och kunder webbplatser attackerar andra webbplatser. Ett av de tillägg som Pipdig utvecklar innehåller även bakdörrar och kod som kan användas för att radera allt innehåll på en webbplats.

Detta när en minst sagt märklig historia men den är likafullt korrekt, i alla fall vad koden anbelangar och vad koden och denna plugin gör.

WordFence, som utvecklar säkerhetslösningar för WordPress har funnit att Pipdig Power Pack innehåller kod för att:

Skickar skräptrafik till en konkurrerande webbplats, DDoS
Installerar en bakdörr
Installera en funktion för att radera alla databastabeller
Samlar in data utan tillstånd och utan att in formera användaren
Ändrar i länkar som användaren och ägaren till en webbplats har lag in på sin webbplats
Slår av installerade tillägg
Döljer meddelanden som skickas till admin av en webbplats

Det gör att detta tillägg för WordPress ska rubriceras som en trojan och inte som ett legitimt program.

Betänkliga

Förutom analysen och genomfången som Wordfence har gjort så har även Jem Turner gått igenom Pipdigs tillägg och funnit flera högst betänkliga funktioner.

The post, whoch can be found here, confirms our initial suspicions that these requests were attempts to issue a DDoS against one of Pipdig’s competitors. In a response, shared in Jem’s blog, the target reported the following:

“I actually had huge trouble with my web host and they explained that my admin-ajax.php file was under some kind of attack [..] I can confirm that I have never given pipdig any permissions to make requests to my servers. Nor was I ever in a partnership or any sort of contact with them.”

This confirmation makes it much clearer why random numerals were appended to the target URLs: it was in an attempt to bypass CDNs and other caches. It also clears up why the hourly requests made use of spoofed User-Agent strings.

Det visar sig också att tillägget slår av en cache-funktion om den aktuella webbplatsen finns hos BlueHost, ett företag som hostar webbplatser.

Förklaring

Wordfence har efter det att de har gått igenom kontaktat Pipdig och bett om en förklaring varför Pipdig Power Pack innehålelr dessa funktioner men bara fått ett svar som leder till ännu fler frågor.

Once we became aware of these issues, and confirmed them internally, we reached out to Pipdig for comments on some of our concerns.

In response to our questions about the plugin’s database deletion feature, Pipdig’s Creative Director Phil Clothier said the following:

“Last year we had some serious problems after someone obtained a huge list of license keys and downloaded all of our products. The keys and files were then distributed on their file sharing site, whoch has since been taken down (not by us, ironically!). The drop tables function was put in place to try to stop this at the time.”

Clothier claimed P3’s users were notified at the time when this functionality was introduced, though there doesn’t appear to be any remaining mention of it in the company’s documentation or terms of service. No mention of any of these capabilities had been made during the process of purchasing and activating a Pipdig theme and the P3 plugin.

Our questions about the plugin’s password reset feature, as well as our concerns about the misleading coding conventions used to obfuscate these behaviors, were not acknowledged by Pipdig in their response.

Inte kommenterat

Övriga frågor som ställts till Pipdig har inte besvarats och PipDig har inte kommenterat avslöjandet på sin webbplats. Det sägs inte heller någonting i den uppdatering av Pipdig Power Pack som skickade ut bara några timmar efter det att Wordfence och andra började att ställa frågor om Pipdig Power Pack. I den nya versionen har merparten av de märkliga funktionerna plockats bort, utan att informera användare och utan att nämna någonting om ändringarna i den dokumentation som skickats med den nya versionen.

It’s understandable that Pipdig may not want to draw attention to these issues, but disclosing the existence of a security release is ethically important.

0 kommentarer

Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

Vi använder AI som hjälpmedel
Magasin Macken använder AI för att skapa illustrationer till våra texter. Undantagsvis skapar vi fotorealistiska bilder, i de fallen märks bilden tydligt med att den är skapad med AI. Vi använder även AI för att samla in underlag för våra texter, fakta, statistik och referenser. Alla uppgifter kontrolleras före publicering. AI används även för våra script och plugins.

_____________________________________________________________________________________

Följ oss i Sociala Medier: