Dešimtys plačiai naudojamos atvirojo kodo žiniatinklio tinklaraščių programinės įrangos „WordPress“ papildinių dabar yra neprisijungę, nes juose buvo aptiktos užpakalinės durys, naudojamos kenkėjiškam kodui perkelti į bet kurią svetainę, kuri rėmėsi papildiniais. Užpakalinės durys buvo aptiktos po to, kai naujas įmonės savininkas nusipirko šiuos papildinius.
Anchor Hosting įkūrėjas Austinas Ginderis praėjusią savaitę paskelbė pavojaus signalą tinklaraščio įraše, kuriame aprašoma tiekimo grandinės ataka prieš „WordPress“ papildinių kūrėją, vadinamą „Essential Plugin“. Ginder sakė, kad pernai kažkas nusipirko „Essential Plugin“, o užpakalinės durys netrukus buvo įtrauktos į papildinių šaltinio kodą. Užpakalinės durys neveikė iki šio mėnesio pradžios, kai suaktyvėjo ir pradėjo platinti kenkėjišką kodą bet kuriai svetainei, kurioje buvo įdiegti papildiniai.
„Essential Plugin“ savo svetainėje teigia, kad įdiegta daugiau nei 400 000 papildinių ir daugiau nei 15 000 klientų. „WordPress“ papildinio diegimo puslapyje rašoma, kad paveikti papildiniai yra daugiau nei 20 000 aktyvių „WordPress“ diegimų.
Papildiniai leidžia „WordPress“ pagrįstų svetainių savininkams išplėsti svetainės funkcionalumą, tačiau tai darydami suteikia papildiniams prieigą prie jų įrenginių, kurie gali atverti šias svetaines kenkėjiškiems plėtiniams ir galimiems kompromisams. Tačiau Ginderis perspėjo, kad „WordPress“ naudotojai nėra informuojami apie papildinių nuosavybės pasikeitimą, todėl vartotojai gali patirti naujų savininkų perėmimo atakas.
Pasak Ginderio, tai jau antrasis „WordPress“ papildinio užgrobimas, aptiktas tiek pat savaičių. Saugumo tyrinėtojai jau seniai perspėjo apie pavojų, kad kenkėjiški veikėjai perka programinę įrangą ir keičia jos kodą, siekdami sukompromituoti daugybę kompiuterių visame pasaulyje.
Nors papildiniai buvo pašalinti iš „WordPress“ katalogo ir dabar jų uždarymas nurodomas kaip „nuolatinis“, Ginder perspėjo, kad „WordPress“ savininkai turėtų patikrinti, ar vis dar yra įdiegtas vienas iš kenkėjiškų papildinių, ir jį pašalinti. „Ginder“ tinklaraščio įraše turi paveiktų papildinių sąrašą.
„Essential Plugin“ atstovai neatsakė į prašymą pakomentuoti.
