Δεκάδες πρόσθετα (plug-ins) για το ευρέως διαδεδομένο λογισμικό ανοιχτού κώδικα WordPress τέθηκαν εκτός λειτουργίας, μετά τον εντοπισμό backdoor που αξιοποιήθηκε για τη διοχέτευση κακόβουλου κώδικα σε ιστότοπους που τα χρησιμοποιούσαν. Η ύπαρξη του backdoor αποκαλύφθηκε έπειτα από την εξαγορά των συγκεκριμένων plug-ins από νέο εταιρικό ιδιοκτήτη.
Τον κίνδυνο ανέδειξε ο ιδρυτής της Anchor Hosting, Όστιν Γκίντερ, μέσω ανάρτησης στο ιστολόγιό του την περασμένη εβδομάδα, περιγράφοντας επίθεση στην αλυσίδα εφοδιασμού που έπληξε τον κατασκευαστή plug-ins Essential Plugin.
Σύμφωνα με τον ίδιο, η εξαγορά της εταιρείας πραγματοποιήθηκε πέρυσι και ακολούθως ενσωματώθηκε backdoor στον πηγαίο κώδικα των πρόσθετων. Το κακόβουλο στοιχείο παρέμεινε ανενεργό μέχρι τις αρχές του μήνα, οπότε ενεργοποιήθηκε και ξεκίνησε να διανέμει κακόβουλο λογισμικό σε ιστοσελίδες με εγκατεστημένα τα συγκεκριμένα plug-ins.
Η Essential Plugin αναφέρει ότι τα προϊόντα της χρησιμοποιούνται σε περισσότερες από 400.000 εγκαταστάσεις και εξυπηρετούν πάνω από 15.000 πελάτες, ενώ σύμφωνα με τη σελίδα εγκατάστασης του WordPress, τα επηρεαζόμενα plug-ins εντοπίζονται σε περισσότερες από 20.000 ενεργές εγκαταστάσεις.
Τα plug-ins αποτελούν βασικό εργαλείο επέκτασης των δυνατοτήτων ενός ιστότοπου WordPress, ωστόσο η πρόσβαση που αποκτούν στο σύστημα ενέχει κινδύνους, καθώς μπορεί να αξιοποιηθεί για την εισαγωγή κακόβουλου κώδικα και την παραβίαση ιστοσελίδων. Ο Γκίντερ υπογραμμίζει ότι οι χρήστες δεν ενημερώνονται σε περίπτωση αλλαγής ιδιοκτησίας ενός plug-in, γεγονός που αυξάνει την έκθεσή τους σε επιθέσεις που προκύπτουν από εξαγορές.
Κατά τον ίδιο, πρόκειται για το δεύτερο περιστατικό παραβίασης plug-in WordPress που εντοπίζεται μέσα σε διάστημα δύο εβδομάδων. Ειδικοί στον τομέα της ασφάλειας έχουν επανειλημμένα προειδοποιήσει για τον κίνδυνο εξαγοράς λογισμικού από κακόβουλους παράγοντες, οι οποίοι τροποποιούν τον κώδικα με στόχο τη μαζική εκμετάλλευση συστημάτων διεθνώς.
Αν και τα επίμαχα plug-ins έχουν πλέον αφαιρεθεί από τον κατάλογο του WordPress και εμφανίζονται ως «μόνιμα κλειστά», ο Γκίντερ καλεί τους διαχειριστές ιστοσελίδων να ελέγξουν άμεσα τις εγκαταστάσεις τους και να διαγράψουν τυχόν προσβεβλημένα πρόσθετα. Στην ανάρτησή του περιλαμβάνεται και σχετική λίστα με τα plug-ins που έχουν επηρεαστεί.
