Wordfence ซึ่งเป็น plugin ทางด้าน security ของ WordPress ได้พบว่ามีการฝัง backdoor ไว้ใน captcha plugin ของ WordPress ทำให้ใครที่รู้ก็สามารถสั่งงานและฝัง script ได้เพิ่มเติมมากมาย

Wordfence ได้มีการคอยสอดส่อง WordPress Repository หรือแหล่ง download plugin ของ WordPress อยู่เสมอ เพื่อรอดูว่าหาก plugin ที่ถูกถอดออกไปนั้นมีปัญหาอะไรทางด้าน security หรือไม่ หากใช่ก็จะทำการแจ้งเตือน user ใดๆให้รีบเอาออกนั่นเอง ซึ่งล่าสุดทาง Wordpress Repository ได้ทำการถอด Captcha plugin ซึ่งมีผู้ติดตั้งในเว็บไซด์ 300,000 เว็บไซด์ออกจาก repo เมื่อทาง Wordfence ตรวจสอบก็พบว่าเมื่อ Captcha นั้นมีการ upgrade ตัวมันเอง มันจะมีการเพิ่ม file ที่ชื่อว่า plugin-update.php เข้าไป โดยไฟล์ดังกล่าวเป็นไฟล์ backdoor ตัว backdoor นี้จะทำให้ attacker สามารถเข้าถึงส่วน administrator โดยไม่ได้รับอนุญาต ตัว backdoor จะทำการสร้าง session ของ user ID 1 (ซึ่งโดยปกติแล้วคือ user admin) จากนั้นก็ทำลายตัวเอง

Backdoor installation code ดังกล่าวไม่ได้จำเป็นต้องยืนยันตัวตนอะไร ทำให้ใครก็เข้าใช้งานได้ ตัว backdoor นี้ถูกพบตั้งแต่เมื่อวันที่ 6 ธันวาคมที่ผ่านมา ซึ่ง Captcha plugin เป็นของบริษัท BestWebSoft ซึ่งเมื่อวันที่ 5 กันยายน 2017 ที่ผ่านมาว่าได้เปลี่ยนเจ้าของใหม่ชื่อว่า “Stacy Wellington” ซึ่งทาง Wordfence ได้ตรวจสอบและสืบหาข้อมูลดูพบว่าเป็นกลุ่มเดียวกับที่ซื้อ Plugin ตัวอื่นๆแล้วทำการฝัง backlink และ ads เข้าไป ซึ่งทำให้คาดเดาได้ว่าการฝัง backdoor เข้าไปอาจจะเป็นประสงค์ของเจ้าของใหม่เพื่อฝัง ads หรือ backlink เข้าไปในระบบโดยที่ไม่แจ้งทางผู้ใช้งานก็เป็นได้

Source:: Wordfence