Schlummernde Backdoor in WordPress-Plugin Quick Page/Post Redirect über Jahre verborgen

Zusammenfassung

Das WordPress-Plugin Quick Page/Post Redirect, das auf mehr als 70.000 Websites installiert ist, trug über Jahre hinweg eine versteckte Backdoor in sich, die das Einschleusen beliebigen Codes in betroffene Seiten ermöglichte. Aufgedeckt hat die Schadfunktion Austin Ginder, Gründer des WordPress-Hosting-Anbieters Anchor, nachdem zwölf infizierte Seiten in seinem Bestand einen Sicherheitsalarm auslösten. Bei dem Plugin handelt es sich um ein einfaches Hilfswerkzeug, das seit mehreren Jahren auf WordPress.org verfügbar war und zum Anlegen von Weiterleitungen für Beiträge, Seiten und eigene URLs dient. WordPress.org hat das Plugin vorläufig aus dem Verzeichnis entfernt, solange eine Prüfung läuft. Unklar bleibt, ob der Autor des Plugins die Backdoor selbst einbaute oder ob er von Dritten kompromittiert wurde. Die eigentliche Gefahr geht dabei weniger von der bislang beobachteten Aktivität aus als vielmehr von einem versteckten Aktualisierungsmechanismus, der das Ausführen beliebigen Codes auf Abruf erlaubte und noch immer auf den betroffenen Installationen vorhanden ist.

Nach den Erläuterungen von Ginder enthielten die offiziellen Plugin-Versionen 5.2.1 und 5.2.2, die zwischen 2020 und 2021 veröffentlicht wurden, einen versteckten Selbstaktualisierungs-Mechanismus. Dieser verwies auf eine Drittanbieter-Domain, anadnet[.]com, und erlaubte es, beliebigen Code außerhalb der Kontrolle von WordPress.org auf die Seiten zu schieben.

Der schädliche Selbstaktualisierer wurde in einer der folgenden Versionen wieder aus dem Plugin auf WordPress.org entfernt, noch bevor die Code-Prüfer ihn unter die Lupe nehmen konnten. Kurz darauf erhielten Seiten mit den Versionen 5.2.1 und 5.2.2 laut Ginder still und heimlich einen manipulierten Build 5.2.3 von jenem externen Server, der eine passive Backdoor einschleuste.

Dieser vom Server „w.anadnet[.]com" bezogene Build mit dem zusätzlichen Backdoor-Code wies einen anderen Hash auf als dieselbe Plugin-Version aus dem Bestand von WordPress.org.

Die passive Backdoor wird ausschließlich bei abgemeldeten Besuchern aktiv, um ihre Aktivität vor Administratoren zu verbergen. Sie hängt sich in die Funktion „the_content" ein und ruft Daten vom anadnet-Server ab — vermutlich für SEO-Spam. „Der eigentliche Mechanismus war getarntes Parasiten-SEO. Das Plugin vermietete das Google-Ranking von siebzigtausend Websites an denjenigen, der diesen Hinterkanal 2021 betrieb", erklärt Ginder.

Die größere Gefahr für betroffene Websites geht jedoch vom Aktualisierungsmechanismus selbst aus, der das Ausführen beliebigen Codes auf Abruf ermöglichte. Dieser Mechanismus ist auf den Seiten, die das Plugin nutzen, weiterhin vorhanden, liegt derzeit aber brach, weil die schädliche externe Steuerungs-Subdomain nicht aufgelöst wird. Die Domain selbst ist allerdings aktiv.

Als Lösung sollten betroffene Nutzer das Plugin deinstallieren und durch eine saubere Kopie der Version 5.2.4 von WordPress.org ersetzen, sobald diese wieder verfügbar ist. Ginder richtet zudem eine Botschaft an die Hintermänner der Backdoor und fordert sie auf, ein statisches Update-Manifest zu veröffentlichen, das alle betroffenen Installationen zwingt, automatisch auf die saubere WordPress.org-Version zu aktualisieren, und so die Backdoor von zuvor kompromittierten Seiten entfernen würde.

Der Forscher weist darauf hin, dass Quick Page/Post Redirect weiterhin 70.000 Installationen aufweist, deren Update-Prüfung auf den anadnet-Server verweist.

Schlummernde Backdoor in WordPress-Plugin Quick Page/Post Redirect über Jahre verborgen

Ähnliche Artikel

Neueste Artikel