• Startseite
  • Artikel
  • Führen
  • Pipdig aktualisiert das P3-Plug-in, nachdem Berichte Anbieter-Hintertüren, eingebauten Notausschalter und bösartigen DDoS-Code aufgedeckt haben

Pipdig aktualisiert das P3-Plug-in, nachdem Berichte Anbieter-Hintertüren, eingebauten Notausschalter und bösartigen DDoS-Code aufgedeckt haben

Veröffentlicht: 2019-04-03

Am Wochenende stand Pipdig, ein kleines kommerzielles Theme-Unternehmen, im Mittelpunkt eines Skandals, nachdem mehrere Berichte eine Litanei von unethischen Code-Ergänzungen zu seinem Pipdig Power Pack (P3)-Plugin aufgedeckt hatten.

Am Freitag, den 29. März, veröffentlichte Wordfence-Bedrohungsanalytiker Mikey Veenstra einen Bericht mit Codebeispielen der Backdoors, die Pipdig in ihr Plugin eingebaut hat, zusammen mit einigen unappetitlichen und fragwürdigen Ergänzungen des Codes.

„Wir haben bestätigt, dass das Plugin Pipdig Power Pack (oder P3) Code enthält, der mit irreführenden Variablennamen, Funktionsnamen und Kommentaren verschleiert wurde, um diese Fähigkeiten zu verbergen“, sagte Veenstra.

Dazu gehört ein nicht authentifiziertes Zurücksetzen des Passworts auf eine fest codierte Zeichenfolge, die absichtlich mit Codekommentaren verdeckt wurde, die darauf hinweisen, dass es hinzugefügt wurde, um „nach neuen sozialen Kanälen zu suchen, die der Navigationsleiste hinzugefügt werden können“. Veenstra demonstrierte auch, wie das Plugin Code für eine nicht authentifizierte Datenbanklöschung enthielt, bei der das Pipdig-Team jede WordPress-Site mit dem P3-Plugin aus der Ferne zerstören konnte.

Der Code für das Löschen von Remote-Sites wurde in Version 4.8.0 entfernt, ist aber immer noch ein Problem für Benutzer, die nicht aktualisiert haben. Michael Waterfall, iOS Engineer bei ASOS, testete die „Kill Switch“-Funktion und zeigte, dass sie auch mit früheren Versionen noch funktioniert.

Die Untersuchung von Veenstra deckte auch fragwürdige Remote-Aufrufe in den Cron-Ereignissen des Plugins, nicht offengelegte Inhalte und Konfigurationsumschreibungen sowie eine Liste beliebter Plugins auf, die sofort deaktiviert werden, wenn P3 ohne Wissen des Benutzers aktiviert wird. Er fand heraus, dass einige dieser Plugins neben admin_init deaktiviert sind, sodass alle Benutzerversuche, die Plugins zu reaktivieren, nicht hängen bleiben.

Wordfence schätzt, dass das P3-Plugin eine Installationsbasis von 10.000-15.000 Seiten hat. Die in Version 4.8.0 des Plugins vorgenommenen Änderungen werden im Änderungsprotokoll nicht transparent identifiziert, sodass Benutzer nicht leicht erkennen können, was sich geändert hat. Die Inhaltsfilterung und die Plugin-Deaktivierungen bleiben in der neuesten Version erhalten. Diese Arten von verschleierten Funktionen, die ohne Erlaubnis ausgeführt werden, könnten unbeabsichtigte Folgen auf Websites haben, die das Plugin verwenden, die technisch nicht versierte Benutzer möglicherweise nicht selbst beheben können.

Das Pipdig P3-Plugin hat einen DDoS-Angriff auf die Website eines Mitbewerbers durchgeführt

Jem Turner, ein freiberuflicher Webentwickler aus Großbritannien, veröffentlichte am selben Tag, an dem Wordfence seine Analyse veröffentlichte, eine ausführliche Analyse des P3-Plugins. Sie ging weiter auf die Remote-Anfragen ein und demonstrierte, wie Pipdig das P3-Plugin verwendet hat, um einen DDoS-Angriff auf einen Konkurrenten durchzuführen, der Bloggern auch WordPress-Designs und Installationsdienste anbietet. Der Code löst einen stündlichen Cron-Job auf den Websites der Benutzer aus und nutzt effektiv die Server ihrer Kunden, um böswillige Anfragen an die Website des Konkurrenten zu senden.

Der Codekommentar sagt uns, dass dies „den CDN-Cache (Content Delivery Network) überprüft“. Es ist nicht. Dies führt eine GET-Anforderung für eine Datei (id39dqm3c0_license_h.txt) aus, die sich auf pipdigz.co.uk befindet und die gestern Morgen „https://kotrynabassdesign.com/wp-admin/admin-ajax.php“ im Antworttext zurückgegeben hat.

Jeder Blogger, der das pipdig-Plug-in ausführt, sendet jede einzelne Stunde Tag und Nacht ohne manuellen Eingriff eine Anfrage mit einem gefälschten Benutzeragenten an „https://kotrynabassdesign.com/wp-admin/admin-ajax.php“ mit einer zufälligen Zahlenkette angehängt. Dies führt effektiv einen kleinen DDoS (Distributed Denial of Service) auf dem Server von kotrynabassdesign.com durch.

Turner kontaktierte auch Kotryna Bass, Pipdigs Konkurrentin, die sagte, sie habe ihren Host kontaktiert, nachdem sie herausgefunden hatte, dass ihre admin-ajax.php-Datei einer Art Angriff ausgesetzt war. Der Austausch von Bass mit ihrem Gastgeber wird auch in Turners Bericht veröffentlicht.

In Turners Beitrag wurde erklärt, wie der P3-Plug-in-Code von Pipdig Links manipulierte, um auf ihre eigenen Produkte und Dienstleistungen zu verweisen, wenn ein Benutzer einen Link zu einem Konkurrenten in den Inhalt einfügt:

Hier haben wir das Plugin von pipdig, das nach Erwähnungen von „blogerize.com“ sucht, wobei die Zeichenfolge in zwei Teile geteilt und wieder zusammengefügt – verkettet – wird, um es schwieriger zu machen, Erwähnungen von Konkurrenten zu finden, wenn ein Massen-„In Dateien suchen“ über das Plugin durchgeführt wird (unter anderem ). Wenn das Plugin Links zu blogerize.com in Inhalten von Bloggern (Posts, Seiten) findet, werden sie durch einen Link zu „pipdig.co/shop/blogger-to-wordpress-migration/“ ersetzt, dh pipdigs eigenen Blog-Migrationsdiensten. Das Austauschen dieser Links erhöht den SEO-Vorteil für pipdig, und die überwiegende Mehrheit der Blogger würde den Switcheroo nicht bemerken (insbesondere, wenn die Seite/der Beitrag bearbeitet wurde, würde der Link zum Blogerisieren ganz normal im Backend erscheinen).

Das Plugin hat die Benutzer nicht um Erlaubnis gebeten, bevor es eine dieser Aktionen ausführte, und die meisten von ihnen wurden mit verschleiertem Code implementiert. Turners Untersuchung deckt auch ab, wie das P3-Plug-in Daten sammeln und Admin-Passwörter ändern könnte. Viele der Ergebnisse überschneiden sich mit der Analyse von Wordfence.

„Mir war bewusst, dass Wordfence um eine Meinung gebeten wurde, obwohl ich nicht wusste, dass sie einen Beitrag schreiben und umgekehrt“, sagte Turner. „Ich war jedoch nicht überrascht, dass sie darüber geschrieben haben, angesichts des Risikos für WordPress-Benutzer.“

Sie stand in Kontakt mit den Behörden bezüglich der unethischen Programmierpraktiken und Datenschutzverletzungen von Pipdig.

„Von meiner Seite aus stand ich in Kontakt mit Action Fraud (hat einen Bericht über ihre Website eingereicht) und NCSC (die mich auf Action Fraud verwiesen und mir eine Telefonnummer gegeben haben). Von pipdigs Seite wird in ihrem Blogbeitrag mit rechtlichen Schritten gedroht, aber ich habe noch nichts erhalten.“

Pipdigs öffentliche Reaktion umgeht kritische Bedenken

Der Kreativdirektor von Pipdig, Phil Clothier, veröffentlichte eine öffentliche Antwort des Unternehmens, die mit der Charakterisierung der jüngsten Ermittlungen als „verschiedene Anschuldigungen und Gerüchte, die sich über Pipdig verbreiten“ beginnt und ein emotionales Plädoyer dafür enthält, wie belastend die jüngsten Entwicklungen für sein Unternehmen waren. Er behauptet, sein Team und seine Unterstützer würden schikaniert.

Nachdem er die Version 4.8.0 des P3-Plug-ins herausgebracht und einige, aber nicht alle anstößigen Codes entfernt hat, entscheidet sich Clothier für ein Q&A-Format für seinen Beitrag und stellt jede Frage in die Gegenwart:

Haben Sie DDOS-Konkurrenten?
Nein.

Töten Sie Websites?
Nein!

Haben Sie die Möglichkeit, Websites über das pipdig Power Pack zu beenden?
Nein

In Bezug auf die von ihnen eingebaute „Kill Switch“-Funktion, die alle Tabellen mit dem WordPress-Präfix erkennt und jede von ihnen löscht, sagte Clothier, es sei einfach eine Funktion, um eine Website auf ihre Standardeinstellungen zurückzusetzen. Er hat absichtlich falsch dargestellt, was es tut:

In einer älteren Version des Plugins gab es eine Funktion, mit der eine Website auf die Standardeinstellungen zurückgesetzt werden konnte. Diese Funktion birgt kein Risiko einer böswilligen oder unbeabsichtigten Verwendung. Ich kann kategorisch sagen, dass es kein Risiko für Ihre Website gab, wenn Sie ein pipdig-Thema verwenden. Diese Funktion wurde ausgegraben und als „Kill Switch“ bezeichnet, um uns maximal zu beeinträchtigen.

Clothier behauptet, dass die Funktion im Juli 2018 im P3-Plug-in verfügbar war, als ein Drittanbieter damit begann, Pipdig-Designs zum Verkauf auf seiner eigenen Website anzubieten:

Ein Drittanbieter konnte alle unsere Designs unrechtmäßig herunterladen und sie auf einem Klon unserer eigenen Website veröffentlichen. Dies beinhaltete eine Vorschau unserer Themen und die Möglichkeit, sie zu kaufen. Wir wurden zuerst von Leuten darauf aufmerksam gemacht, die dort ein pipdig-Theme gekauft hatten, aber feststellten, dass bestimmte Funktionen nicht richtig funktionierten. Nach einer Untersuchung stellten wir fest, dass das Opfer das Thema von einem Drittanbieter gekauft hatte, weil es dachte, wir wären es. Der Drittanbieter profitierte nicht nur finanziell von der Themenzahlung, sondern nutzte sie auch, um Malware und Werbung auf der Website des Opfers einzuschleusen. Die Reset-Funktion wurde eingerichtet, um Drittanbietern die Möglichkeit zu nehmen, Vorschauseiten mit unseren Themen zu hosten. Es funktionierte, und sie sind seitdem verschwunden. Die Funktion wurde dann in einer späteren Version des Plugins entfernt.

Dies ist eine falsche Behauptung, wie Wordfence in einem aktualisierten Artikel herausstellte. Die erste Instanz des für die Datenbanklöschung verantwortlichen Codes wurde im November 2017 an das Plugin übergeben.

Das Unternehmen hat es versäumt, die kritischsten Bedenken, die in der Wordfence-Analyse vorgebracht wurden, in seinem ersten Durchgang bei der Abgabe einer öffentlichen Erklärung anzusprechen. Stattdessen gibt Pipdig in Bezug auf die Koordination eines DDoS-Angriffs auf Konkurrenten den Benutzern die Schuld und schlägt vor, dass sie möglicherweise die URL des Konkurrenten zu ihren Websites hinzugefügt haben.

„Wir untersuchen jetzt, warum diese Funktion diese URL zurückgibt“, sagte Clothier. „Es scheint jedoch anzudeuten, dass einige der „Autoren-URLs“ auf „kotrynabassdesign.com“ gesetzt wurden. Wir wissen derzeit nicht, warum dies der Fall ist oder ob der Websitebesitzer dies absichtlich geändert hat.“

Weitere Untersuchungen, die heute von Wordfence veröffentlicht wurden, zeigten, dass Pipdig auch DDoS-Code zu seinen Blogger-Vorlagen hinzufügte und bis gestern aktiv böswillige Anfragen stellte:

Während der Untersuchung des WordPress-Plugins und der Themen von Pipdig stießen wir auch auf merkwürdigen Code, der mit ihren Blogger-Themen verbunden ist. Dieser Code ist Teil von Pipdigs mutmaßlicher DDoS-Kampagne gegen ihren Konkurrenten und war bis zum 1. April aktiv, vier Tage nachdem Pipdig ein solches Verhalten geleugnet hatte.

Es wurde bestätigt, dass einige der Blogger-Designs von Pipdig externe JavaScript-Aufrufe an den Server von Pipdig senden, insbesondere an das Skript hXXps://pipdigz[.]co[.]uk/js/zeplin1.js.

Am 31. März, als die Untersuchungen öffentlich wurden, löschte Pipdig sein öffentliches Bitbucket-Repository und ersetzte es durch ein „sauberes“, wodurch drei Jahre Commit-Verlauf entfernt wurden. Wordfence und viele andere haben das Repository geklont, bevor es gelöscht wurde, und Schnappschüsse von Seiten gespeichert, um sie bei der Untersuchung zu zitieren.

Die öffentliche Erklärung von Pipdig enthält eine Reihe anderer falscher Behauptungen, die im Folgeartikel von Wordfence mit Codebeispielen umrissen werden. Clothier schließt den Artikel mit einer Verleumdung der Presse, vermutlich um die Kunden zu ermutigen, dem, was sie aus anderen Quellen lesen, nicht zu vertrauen.

Ich kontaktierte Pipdig für ihren Kommentar zu den jüngsten Ereignissen, aber Clothier lehnte es ab, meine Fragen zu beantworten. Einer davon war, warum das Plugin das Caching-Plugin von Bluehost deaktiviert, ohne die Kunden zu informieren.

Clothier sagte, er habe keine Kommentare über das hinaus, was er in der öffentlichen Erklärung gesagt habe, ermutigte jedoch alle Interessierten, die neuen Kommentare zu lesen, die dem Code in Version 4.9.0 hinzugefügt wurden:

Wir haben auch Version 4.9.0 des Plugins aktualisiert, die zusätzliche Kommentare im Code enthält, was hoffentlich dazu beitragen wird, Dinge wie Probleme mit dem Bluehost-Caching und dem Filter the_content() zu klären.

Falls jemand unsicher ist, empfehlen wir wie immer ein Update auf die neuste Version. Wir behaupten jedoch auch, dass die vorherigen Versionen auch keine ernsthaften Probleme hatten.

Pipdig lehnte es ab, Fragen zur Lizenzierung zu beantworten, aber die Produkte scheinen nicht GPL-lizenziert zu sein. Dies könnte der Grund sein, warum das Unternehmen es für sein Recht hielt, Maßnahmen gegen diejenigen zu ergreifen, von denen sie glauben, dass sie ihre Themen „gestohlen“ haben.

Pipdig-Kunden reagieren gemischt auf Berichte über Backdoors von Anbietern und DDoS-Angriffe

Bei einem der vielleicht dreistesten Missbrauchsfälle, die ich je von einer Theme-Firma in der Geschichte von WordPress gesehen habe, wurde die Benutzerbasis von Pipdig unwissentlich dazu benutzt, die Konkurrenten des Unternehmens ins Visier zu nehmen. Ungeachtet des Motivs des Unternehmens, die unbefugte Verbreitung seiner Themen zu bekämpfen, sind diese Arten von Hintertüren und nicht offengelegten Umschreibungen von Inhalten nicht zu rechtfertigen. Sie machen sich das Vertrauen der Nutzer zunutze, und in diesem Fall waren die Opfer in erster Linie Blogger.

Einer der verwirrenderen Aspekte dieser Geschichte ist, dass viele Benutzer von Pipdig von der Schwere der Ergebnisse in diesen Berichten unbeeindruckt zu sein scheinen. Ohne vollständige Kenntnis des Innenlebens eines Produkts treffen viele Kunden Entscheidungen nach ihren Gefühlen zu einem Unternehmen, unabhängig davon, ob sie mit Fakten konfrontiert werden, die sie dazu veranlassen sollten, ihre Erfahrungen in Frage zu stellen.

Andere sind wütend darüber, dass ihre Seiten für einen Angriff missbraucht wurden. Die Einrichtung eines neuen Themas ist keine triviale Aufgabe für technisch nicht versierte Benutzer, die möglicherweise einen Entwickler bezahlen mussten, um ihre Websites überhaupt zu starten.

„Ich bin absolut überwältigt von pipdigs öffentlicher Reaktion“, sagte Jem Turner. „Ich verstehe, dass sie sich auf den absolut nicht technischen Hintergrund ihrer Benutzer verlassen haben, um sie zu täuschen, und am Anfang schien es sicherlich zu funktionieren, aber jeder mit dem geringsten Programmierwissen kann sehen, dass sie und ich wirklich lügen verstehe nicht, wie sie denken, dass sie damit durchkommen.“

Dieser Vorfall wirft ein Schlaglicht darauf, wie unreguliert das kommerzielle Plugin- und Theme-Ökosystem ist und wie wenig Schutz die Benutzer vor Unternehmen haben, die ihre Macht missbrauchen. Wenn Sie ein von diesem Vorfall betroffener Pipdig-Kunde sind, gibt es keine Garantie dafür, dass das Unternehmen in Zukunft keine weiteren Hintertüren in Ihre Website einbauen wird. Die Plugin-Updates werden von keiner Behörde überprüft. Glücklicherweise gibt es einige Maßnahmen, die Sie ergreifen können, um eine sicherere Umgebung für Ihre Website zu schaffen.

Suchen Sie zunächst nach GPL-lizenzierten Themes und Plugins, denn diese gewähren Ihnen als Nutzer mehr Freiheiten und sind mit der gesetzlichen Lizenz von WordPress kompatibel. GPL-lizenzierte Produkte sind auch ein starkes Zeichen dafür, dass die Autoren die Benutzerfreiheiten und die gemeinsamen wirtschaftlichen Prinzipien respektieren, die diese Open-Source-Lizenz unterstützt.

Viele seriöse Theme-Unternehmen entscheiden sich dafür, die begleitenden Plugins ihrer Produkte auf WordPress.org zu hosten, um die Verteilung und den Versand von Updates zu erleichtern. Das offizielle Verzeichnis erlaubt diese Art von zwielichtigen Codierungspraktiken, die in diesem Artikel beschrieben werden, nicht, und alle Plugins durchlaufen eine Sicherheitsüberprüfung durch das WordPress-Plugin-Team. Wenn Sie sich Sorgen über die Codequalität und das Missbrauchspotenzial machen, recherchieren Sie ein wenig über Ihren nächsten potenziellen kommerziellen Theme-Anbieter oder entscheiden Sie sich für kostenlose, von WordPress.org gehostete Themes und Plugins, die einem strengeren Überprüfungsprozess unterzogen wurden.