O plugin Quick Page/Post Redirect, instalado em mais de 70.000 sites WordPress, teve uma backdoor adicionada há cinco anos que permite injetar código arbitrário nos sites das vítimas.
O malware foi descoberto por Austin Ginder, fundador da empresa de hospedagem WordPress Anchor, após 12 sites infectados em sua infraestrutura dispararem um alerta de segurança.
Disponível no WordPress.org há vários anos, o Quick Page/Post Redirect é um plugin básico usado para criar redirecionamentos em posts, páginas e URLs personalizadas.
O WordPress.org removeu temporariamente o plugin do diretório enquanto aguarda uma revisão.
Ainda não está claro se o autor do plugin inseriu a backdoor ou se foi comprometido por terceiros.
Ginder explicou que as versões oficiais 5.2.1 e 5.2.2, lançadas entre 2020 e 2021, incluíam um mecanismo oculto de autoatualização apontando para um domínio de terceiros, anadnet[.]com, o que permitia enviar código arbitrário fora do controle do WordPress.org.
Em fevereiro de 2021, o atualizador malicioso foi removido das versões seguintes do plugin no WordPress.org antes que os revisores de código pudessem examiná-lo.
Em março de 2021, segundo Ginder, sites que executavam o Quick Page/Post Redirect 5.2.1 e 5.2.2 receberam silenciosamente uma versão 5.2.3 adulterada a partir desse servidor externo, que introduziu uma backdoor passiva.
No entanto, a versão distribuída pelo servidor w.anadnet[.]com, com o código extra da backdoor, tinha um hash diferente da mesma versão do plugin obtida no WordPress.org.
A backdoor passiva só é acionada para usuários desconectados, o que ajuda a ocultar a atividade dos administradores.
Ela está integrada ao conteúdo da página e busca dados no servidor anadnet, provavelmente usado em operações de spam de SEO.
“O mecanismo real era um parasita de SEO.
O plugin estava alugando o ranqueamento no Google de 70.000 sites para quem quer que estivesse operando esse canal paralelo em 2021”, afirmou Ginder.
O maior risco para os sites afetados, porém, está no próprio mecanismo de atualização, que permitia a execução de código arbitrário sob demanda.
Esse mecanismo ainda existe nos sites que usam o plugin, mas está inativo porque o subdomínio malicioso de comando e controle não resolve.
O domínio, no entanto, continua ativo.
A solução para os usuários impactados é desinstalar o plugin e substituí-lo por uma cópia limpa da versão 5.2.4, obtida do WordPress.org assim que ela voltar a ficar disponível.
Ginder também pediu que quem está por trás da backdoor faça o que é certo e publique agora um manifesto estático de atualização que force todas as instalações afetadas a migrar automaticamente para a versão limpa do WordPress.org, removendo efetivamente a backdoor dos sites previamente comprometidos.
O pesquisador alerta ainda que o Quick Page/Post Redirect mantém 70.000 instalações com uma verificação de atualização apontando para o servidor anadnet.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...