Pipdig actualiza el complemento P3 después de que los informes exponen las puertas traseras del proveedor, el interruptor de apagado incorporado y el código DDoS malicioso

Durante el fin de semana, Pipdig, una pequeña empresa de temas comerciales, ha estado en el centro de un escándalo después de que varios informes expusieran una letanía de adiciones de códigos poco éticos a su complemento Pipdig Power Pack (P3).

El viernes 29 de marzo, el analista de amenazas de Wordfence, Mikey Veenstra, publicó un informe con ejemplos de código de las puertas traseras que Pipdig incorporó en su complemento, junto con algunas adiciones desagradables y cuestionables al código.

“Hemos confirmado que el complemento, Pipdig Power Pack (o P3), contiene un código que ha sido ofuscado con nombres de variables, nombres de funciones y comentarios engañosos para ocultar estas capacidades”, dijo Veenstra.

Estos incluyen un restablecimiento de contraseña no autenticado a una cadena codificada, que se ocultó deliberadamente con comentarios de código que indicaban que se agregó para "buscar nuevos canales sociales para agregar a la barra de navegación". Veenstra también demostró cómo el complemento contenía un código para la eliminación de una base de datos no autenticada, en la que el equipo de Pipdig podía destruir de forma remota cualquier sitio de WordPress usando el complemento P3.

El código para la eliminación remota del sitio se eliminó en la versión 4.8.0, pero sigue siendo una preocupación para los usuarios que no han actualizado. Michael Waterfall, ingeniero de iOS en ASOS, probó la función de "interruptor de apagado" y demostró que todavía funciona con versiones anteriores.

También confirma que mintieron. Ellos _todavía_ tienen la capacidad de borrar cualquier blog que no se haya actualizado a la nueva versión del complemento (4.8.0), que lanzaron apresuradamente para eliminar el interruptor de apagado después de que fueron expuestos el otro día. pic.twitter.com/bNMfRQUBpr

— Michael Cascada (@mwaterfall) 31 de marzo de 2019

La investigación de Veenstra también descubrió llamadas remotas cuestionables en los eventos cron del complemento, contenido no revelado y reescrituras de configuración, y una lista de complementos populares que se desactivan inmediatamente cuando se activa P3, sin el conocimiento del usuario. Descubrió que algunos de estos complementos están desactivados junto con admin_init, por lo que cualquier usuario que intente reactivar los complementos no se mantendrá.

Wordfence estima que el complemento P3 tiene una base instalada de 10 000 a 15 000 sitios. Los cambios realizados en la versión 4.8.0 del complemento no se identifican de forma transparente en el registro de cambios, por lo que no es fácil para los usuarios saber qué ha cambiado. El filtrado de contenido y las desactivaciones de complementos permanecen en la versión más reciente. Estos tipos de funciones encubiertas realizadas sin permiso podrían tener consecuencias no deseadas en los sitios que usan el complemento, que los usuarios no técnicos pueden no ser capaces de solucionar por sí mismos.

El complemento Pipdig P3 realizó un ataque DDoS en el sitio de un competidor

Jem Turner, un desarrollador web independiente con sede en el Reino Unido, publicó un extenso análisis del complemento P3 el mismo día en que Wordfence publicó su análisis. Profundizó aún más en las solicitudes remotas, demostrando cómo Pipdig ha estado usando el complemento P3 para realizar un ataque DDoS en un competidor que también proporciona temas de WordPress y servicios de instalación a los blogueros. El código activa un trabajo cron cada hora en los sitios de los usuarios, utilizando efectivamente los servidores de sus clientes para enviar solicitudes maliciosas al sitio de la competencia.

El comentario del código nos dice que esto es "verificar el caché de CDN (red de entrega de contenido)". No es. Esto es realizar una solicitud GET en un archivo (id39dqm3c0_license_h.txt) ubicado en pipdigz.co.uk, que ayer por la mañana devolvió 'https://kotrynabassdesign.com/wp-admin/admin-ajax.php' en el cuerpo de respuesta.

Cada hora del día y de la noche, sin ninguna intervención manual, cualquier bloguero que ejecute el complemento pipdig enviará una solicitud con un agente de usuario falso a 'https://kotrynabassdesign.com/wp-admin/admin-ajax.php' con un cadena de números adjunta. Esto está realizando efectivamente un DDoS (Denegación de servicio distribuida) a pequeña escala en el servidor de kotrynabassdesign.com.

Turner también se puso en contacto con Kotryna Bass, la competidora de Pipdig, quien dijo que se había puesto en contacto con su host después de descubrir que su archivo admin-ajax.php estaba bajo algún tipo de ataque. Los intercambios de Bass con su anfitrión también se publican en el informe de Turner.

La publicación de Turner explicó cómo el código del complemento P3 de Pipdig manipuló los enlaces para apuntar a sus propios productos y servicios cuando un usuario incluye un enlace a un competidor en el contenido:

Aquí tenemos el complemento de pipdig que busca menciones de 'blogerize.com' con la cadena dividida en dos y unida (concatenada) para que sea más difícil encontrar menciones de competidores al realizar una búsqueda masiva en archivos en el complemento (entre otras cosas). ). Cuando el complemento encuentra enlaces a blogerize.com en el contenido de Blogger (publicaciones, páginas), se intercambian con un enlace a 'pipdig.co/shop/blogger-to-wordpress-migration/', es decir, los propios servicios de migración de blog de pipdig. Intercambiar estos enlaces aumenta el beneficio de SEO para pipdig, y la gran mayoría de los bloggers no notarían el cambio (especialmente si la página/publicación se editara, el enlace para blogerizar aparecería en el backend como de costumbre).

El complemento no pidió permiso a los usuarios antes de realizar ninguna de estas acciones y la mayoría de ellas se implementaron con código ofuscado. La investigación de Turner también cubre cómo el complemento P3 podría recopilar datos y cambiar las contraseñas de administrador. Muchos de los hallazgos se superponen con el análisis de Wordfence.

“Sabía que se había contactado a Wordfence para pedir una opinión, aunque no sabía que estaban escribiendo una publicación y viceversa”, dijo Turner. "Sin embargo, no me sorprendió que escribieran sobre eso, dado el riesgo para los usuarios de WordPress".

Ha estado en contacto con las autoridades con respecto a las prácticas de codificación poco éticas y violaciones de privacidad de Pipdig.

“Desde mi punto de vista, he estado en contacto con Action Fraud (envié un informe a través de su sitio web) y NCSC (quien me remitió a Action Fraud y me dio un número para llamar). Por parte de pipdig, hay amenazas de acciones legales en su publicación de blog, pero aún no he recibido nada”.

La respuesta pública de Pipdig bordea las preocupaciones críticas

El director creativo de Pipdig, Phil Clothier, publicó una respuesta pública de la empresa que comienza caracterizando las investigaciones recientes como "diversas acusaciones y rumores sobre pipdig" e incluye un emotivo alegato sobre lo angustiosos que han sido los acontecimientos recientes para su empresa. Afirma que su equipo y sus seguidores están siendo acosados.

Después de lanzar la versión 4.8.0 del complemento P3, eliminando parte del código ofensivo, pero no todo, Clothier opta por un formato de estilo de preguntas y respuestas para su publicación, poniendo cada pregunta en tiempo presente:

¿Usted DDOS competidores?
No.

¿Usted "mata" sitios?
¡No!

¿Tiene la capacidad de matar sitios a través del pipdig Power Pack?
No

Con respecto a la función de "interruptor de apagado" que incorporaron, que detecta todas las tablas con el prefijo de WordPress y elimina cada una de ellas, Clothier dijo que era simplemente una función para restablecer un sitio a su configuración predeterminada. Deliberadamente tergiversó lo que hace:

Había una función en una versión anterior del complemento que podía usarse para restablecer un sitio a la configuración predeterminada. Esta función no tenía riesgo de uso malicioso o no intencional. Puedo decir categóricamente que no hubo riesgo para su sitio si estaba usando un tema de pipdig. Esta función ha sido desenterrada y etiquetada como "interruptor de emergencia" para lograr el máximo impacto negativo en nosotros.

Clothier afirma que la función estaba disponible en el complemento P3 en julio de 2018 cuando un tercero comenzó a publicar temas de Pipdig para la venta en su propio sitio:

Un tercero pudo descargar todos nuestros temas de forma ilegítima y publicarlos en un clon de nuestro propio sitio. Esto incluyó vistas previas de nuestros temas y la posibilidad de comprarlos. Primero nos alertaron de esto personas que habían comprado un tema de pipdig desde allí, pero descubrieron que ciertas funciones no funcionaban correctamente. Después de la investigación, descubrimos que la víctima había comprado el tema a un tercero, pensando que éramos nosotros. El tercero no solo obtuvo el beneficio financiero del pago del tema, sino que también lo usó como una forma de inyectar malware y anuncios en el sitio de la víctima. La función de reinicio se implementó para eliminar la capacidad del tercero de alojar sitios de vista previa con nuestros temas. Funcionó, y desde entonces han desaparecido. Luego, la función se eliminó en una versión posterior del complemento.

Esta es una afirmación falsa, como señaló Wordfence en un artículo actualizado. La primera instancia del código responsable de la eliminación de la base de datos se comprometió con el complemento en noviembre de 2017.

La empresa no abordó las preocupaciones más críticas presentadas en el análisis de Wordfence en su primer intento de emitir una declaración pública. En cambio, sobre la cuestión de coordinar un ataque DDoS contra los competidores, Pipdig culpa a los usuarios y sugiere que pueden haber agregado la URL del competidor a sus sitios.

“Ahora estamos investigando por qué esta función devuelve esta URL”, dijo Clothier. “Sin embargo, parece sugerir que algunas de las 'URL de autor' se han establecido en 'kotrynabassdesign.com'. Actualmente no sabemos por qué este es el caso, o si el propietario del sitio ha cambiado esto intencionalmente”.

Investigaciones adicionales publicadas por Wordfence hoy mostraron que Pipdig también agregó código DDoS a sus plantillas de Blogger y estuvo emitiendo activamente solicitudes maliciosas hasta ayer:

Durante la investigación del complemento y los temas de WordPress de Pipdig, también encontramos un código curioso asociado con sus temas de Blogger. Este código es parte de la supuesta campaña DDoS de Pipdig contra su competidor y estuvo activo hasta el 1 de abril, cuatro días después de que Pipdig negara tal comportamiento.

Se ha confirmado que algunos de los temas de Blogger de Pipdig realizan llamadas JavaScript externas al servidor de Pipdig, específicamente al script hXXps://pipdigz[.]co[.]uk/js/zeplin1.js.

El 31 de marzo, cuando las investigaciones se hicieron públicas, Pipdig eliminó su repositorio público de Bitbucket y lo reemplazó con uno "limpio", eliminando tres años de historial de confirmaciones. Wordfence y muchos otros clonaron el repositorio antes de que se eliminara y guardaron instantáneas de las páginas para citarlas en la investigación.

Ese repositorio limpio @pipdig publicado hoy temprano en lugar del que contiene todo su código malicioso... Cambiaron la fecha de lanzamiento informada de la versión 4.8.0. pic.twitter.com/YqKASTUZE7

– Nicky Bloor (@nickstadb) 1 de abril de 2019

La declaración pública de Pipdig contiene una serie de otras afirmaciones falsas que se describen en el artículo de seguimiento de Wordfence con ejemplos de código. Clothier cierra el artículo calumniando a la prensa, presumiblemente para alentar a los clientes a no confiar en lo que leen de otras fuentes.

Me puse en contacto con Pipdig por su comentario sobre los eventos recientes, pero Clothier se negó a responder a ninguna de mis preguntas. Uno de ellos fue por qué el complemento deshabilita el complemento de almacenamiento en caché de Bluehost sin informar a los clientes.

Otro del complemento @pipdig. Si usa uno de sus temas en @bluehost, intencionalmente ralentizan su sitio web al deshabilitar el complemento de caché BlueHost, luego pueden inyectar contenido con el título "¿Su host lo está ralentizando?" CC @jemjabella @heyitsmikeyv pic.twitter.com/48DUXsDyBj

– Nicky Bloor (@nickstadb) 31 de marzo de 2019

Clothier dijo que no tenía ningún comentario más allá de lo que dijo en la declaración pública, pero alentó a cualquier persona interesada a leer los nuevos comentarios agregados al código en la versión 4.9.0:

También actualizamos la versión 4.9.0 del complemento que incluye comentarios adicionales en el código, lo que esperamos ayude a aclarar cosas como problemas con el almacenamiento en caché de Bluehost y el filtro the_content().

Si alguien no está seguro, recomendamos actualizar a la última versión como siempre. Sin embargo, también afirmamos que las versiones anteriores tampoco tenían problemas serios.

Pipdig se negó a responder preguntas sobre licencias, pero los productos no parecen tener licencia GPL. Esta puede ser la razón por la cual la compañía consideró que estaba en su derecho de tomar medidas contra aquellos que creen que han "robado" sus temas.

Los clientes de Pipdig comparten reacciones mixtas a los informes de puertas traseras de proveedores y ataques DDoS

En lo que quizás sea uno de los abusos más descarados que he visto por parte de una empresa de temas en la historia de WordPress, la base de usuarios de Pipdig se ha utilizado sin saberlo para apuntar a los competidores de la empresa. Independientemente del motivo de la empresa para combatir la distribución no autorizada de sus temas, este tipo de puertas traseras y reescrituras de contenido no revelado son indefendibles. Se aprovechan de la confianza de los usuarios y, en este caso, las víctimas eran principalmente blogueros.

Creo que es por eso que muchos de nosotros estamos tan enojados. Los bloggers son el alma de #WordPress, creas contenido y, en su mayor parte, no tienes grandes presupuestos para gastar. Entonces, cuando alguien se aprovecha de eso, aquellos en el extremo del mercado de "bajo presupuesto", aquellos que no pueden pagar los desarrolladores ...

– Andy Powell (@p0welly) 31 de marzo de 2019

Uno de los aspectos más desconcertantes de esta historia es que muchos de los usuarios de Pipdig parecen no inmutarse por la gravedad de los hallazgos en estos informes. Sin un conocimiento completo del funcionamiento interno de un producto, muchos clientes toman decisiones basadas en cómo se sienten acerca de una empresa, independientemente de que se enfrenten a hechos que deberían hacerles cuestionar sus experiencias.

no me preocupa Confío en ellos. Y ciertamente no estoy entrando en pánico y actuando según las palabras de dos publicaciones de blog que citan a sus competidores. Me han servido bien durante años.

— Caroline Hirons (@CarolineHirons) 29 de marzo de 2019

Otros están enojados porque sus sitios fueron utilizados en un ataque. Configurar un nuevo tema no es una tarea trivial para los usuarios no técnicos que pueden haber tenido que pagarle a un desarrollador para lanzar sus sitios en primer lugar.

¿Honestamente? Estoy realmente enojado. Confié en ellos durante años y, a cambio, mi sitio ha sido utilizado maliciosamente contra otras pequeñas empresas. He estado viendo este desarrollo desde el viernes, pero incluso esta actualización me sorprendió. https://t.co/mPsO8EoHBp

— Charlotte (@bycharlotteann_) 2 de abril de 2019

“Estoy absolutamente asombrado por la respuesta pública de pipdig”, dijo Jem Turner. “Entiendo que contaban con la experiencia completamente no tecnológica de sus usuarios para engañarlos, y ciertamente parecía estar funcionando al principio, pero cualquier persona con el más mínimo conocimiento de codificación puede ver que están mintiendo y yo realmente No entiendo cómo creen que se saldrán con la suya.

La parte loca es que si queremos ser realmente reales sobre esto, es más como

El tipo del cable cortó un gran agujero en mi pared e instaló una manija de puerta en él. Tomó un poco de cinta de pintor y garabateó "ESTO ES UNA CAJA DE CABLE" en el panel de yeso. Luego me miró a los ojos y dijo: "No, no lo hice".

— ~$ ./mikey -v (@heyitsmikeyv) 31 de marzo de 2019

Este incidente pone de relieve lo poco regulado que está el ecosistema de plugins y temas comerciales y la poca protección que tienen los usuarios frente a las empresas que abusan de su poder. Si usted es un cliente de Pipdig afectado por este incidente, no hay garantía de que la empresa no construya más puertas traseras en su sitio en el futuro. Las actualizaciones del complemento no son revisadas por ningún tipo de autoridad. Afortunadamente, hay algunas acciones que puede realizar para crear un entorno más seguro para su sitio web.

Primero, busque temas y complementos con licencia GPL, porque le otorgan más libertades como usuario y son compatibles con la licencia legal de WordPress. Los productos con licencia GPL también son una fuerte indicación de que los autores respetan las libertades de los usuarios y los principios económicos compartidos que respalda esta licencia de código abierto.

Muchas empresas de temas de renombre optan por alojar los complementos complementarios de sus productos en WordPress.org para facilitar la distribución y las actualizaciones de envío. El directorio oficial no permite este tipo de prácticas de codificación sospechosas descritas en este artículo y todos los complementos pasan por una revisión de seguridad por parte del equipo de complementos de WordPress. Si le preocupa la calidad del código y el potencial de abuso, investigue un poco sobre su próximo posible proveedor de temas comerciales u opte por temas y complementos gratuitos alojados en WordPress.org que se hayan sometido a un proceso de investigación más riguroso.