• Beranda
  • Artikel
  • Memandu
  • Pipdig Memperbarui Plugin P3 setelah Laporan Mengekspos Pintu Belakang Vendor, Kill Switch Bawaan, dan Kode DDoS Berbahaya

Pipdig Memperbarui Plugin P3 setelah Laporan Mengekspos Pintu Belakang Vendor, Kill Switch Bawaan, dan Kode DDoS Berbahaya

Diterbitkan: 2019-04-03

Selama akhir pekan, Pipdig, sebuah perusahaan tema komersial kecil, telah menjadi pusat skandal setelah beberapa laporan mengungkap sejumlah penambahan kode yang tidak etis ke plugin Pipdig Power Pack (P3)-nya.

Pada hari Jumat, 29 Maret, analis ancaman Wordfence Mikey Veenstra menerbitkan sebuah laporan dengan contoh kode pintu belakang Pipdig yang dibangun ke dalam plugin mereka, bersama dengan beberapa tambahan kode yang buruk dan dipertanyakan.

“Kami telah mengkonfirmasi bahwa plugin, Pipdig Power Pack (atau P3), berisi kode yang telah dikaburkan dengan nama variabel, nama fungsi, dan komentar yang menyesatkan untuk menyembunyikan kemampuan ini,” kata Veenstra.

Ini termasuk reset kata sandi yang tidak diautentikasi ke string kode-keras, yang sengaja dikaburkan dengan komentar kode yang menunjukkan bahwa itu ditambahkan ke "periksa saluran sosial baru untuk ditambahkan ke navbar." Veenstra juga menunjukkan bagaimana plugin berisi kode untuk penghapusan database yang tidak diautentikasi, di mana tim Pipdig dapat menghancurkan situs WordPress dari jarak jauh menggunakan plugin P3.

Kode untuk penghapusan situs jarak jauh telah dihapus di versi 4.8.0 tetapi masih menjadi perhatian bagi pengguna yang belum memperbarui. Michael Waterfall, Insinyur iOS di ASOS, menguji fungsi "kill switch" dan menunjukkan bahwa itu masih berfungsi dengan versi sebelumnya.

Penyelidikan Veenstra juga menemukan panggilan jarak jauh yang dipertanyakan dalam peristiwa cron plugin, konten yang dirahasiakan dan penulisan ulang konfigurasi, dan daftar plugin populer yang segera dinonaktifkan ketika P3 diaktifkan, tanpa sepengetahuan pengguna. Dia menemukan bahwa beberapa plugin ini dinonaktifkan bersama admin_init, jadi setiap pengguna yang mencoba mengaktifkan kembali plugin tidak akan macet.

Wordfence memperkirakan plugin P3 memiliki basis pemasangan 10.000-15.000 situs. Perubahan yang dilakukan pada plugin versi 4.8.0 tidak diidentifikasi secara transparan di changelog, sehingga tidak mudah bagi pengguna untuk mengetahui apa yang telah berubah. Pemfilteran konten dan penonaktifan plugin tetap dalam rilis terbaru. Jenis fungsi terselubung yang dilakukan tanpa izin ini dapat memiliki konsekuensi yang tidak diinginkan pada situs yang menggunakan plugin, yang mungkin tidak dapat diperbaiki sendiri oleh pengguna non-teknis.

Plugin Pipdig P3 Melakukan Serangan DDoS di Situs Pesaing

Jem Turner, pengembang web lepas yang berbasis di Inggris, menerbitkan analisis panjang plugin P3 pada hari yang sama ketika Wordfence merilis analisisnya. Dia menelusuri lebih jauh ke dalam permintaan jarak jauh, menunjukkan bagaimana Pipdig telah menggunakan plugin P3 untuk melakukan serangan DDoS pada pesaing yang juga menyediakan tema WordPress dan layanan instalasi untuk blogger. Kode memicu pekerjaan cron per jam di situs pengguna, secara efektif menggunakan server pelanggan mereka untuk mengirim permintaan jahat ke situs pesaing.

Komentar kode memberi tahu kami bahwa ini adalah "memeriksa cache CDN (jaringan pengiriman konten)". Ini bukan. Ini melakukan permintaan GET pada file (id39dqm3c0_license_h.txt) yang ada di pipdigz.co.uk, yang kemarin pagi mengembalikan 'https://kotrynabassdesign.com/wp-admin/admin-ajax.php' di badan respons.

Setiap jam siang dan malam, tanpa intervensi manual, blogger mana pun yang menjalankan plugin pipdig akan mengirim permintaan dengan Agen Pengguna palsu ke 'https://kotrynabassdesign.com/wp-admin/admin-ajax.php' dengan acak nomor string terpasang. Ini secara efektif melakukan DDoS (Distributed Denial of Service) skala kecil di server kotrynabassdesign.com.

Turner juga menghubungi Kotryna Bass, pesaing Pipdig, yang mengatakan bahwa dia telah menghubungi host-nya setelah menemukan bahwa file admin-ajax.php-nya sedang diserang. Pertukaran Bass dengan pembawa acaranya juga dipublikasikan dalam laporan Turner.

Postingan Turner menjelaskan bagaimana kode plugin P3 Pipdig memanipulasi tautan untuk menunjuk ke produk dan layanan mereka sendiri ketika pengguna menyertakan tautan ke pesaing dalam konten:

Di sini kami memiliki plugin pipdig yang mencari penyebutan 'blogerize.com' dengan string yang terbelah dua dan digabungkan kembali – digabungkan – untuk mempersulit menemukan penyebutan pesaing saat melakukan 'Temukan di File' massal di seluruh plugin (antara lain ). Ketika plugin menemukan link ke blogerize.com dalam konten blogger (postingan, halaman), mereka ditukar dengan link ke 'pipdig.co/shop/blogger-to-wordpress-migration/' yaitu layanan migrasi blog milik pipdig sendiri. Mengganti tautan ini meningkatkan manfaat SEO untuk pipdig, dan sebagian besar blogger tidak akan menyadari peralihan tersebut (terutama jika halaman/postingan telah diedit, tautan ke blogerize akan muncul di backend seperti biasa).

Plugin tidak meminta izin pengguna sebelum melakukan tindakan ini dan sebagian besar diimplementasikan dengan kode yang dikaburkan. Penyelidikan Turner juga mencakup bagaimana plugin P3 dapat mengumpulkan data dan mengubah kata sandi admin. Banyak temuan yang tumpang tindih dengan analisis Wordfence.

“Saya mengetahui bahwa Wordfence telah dihubungi untuk dimintai pendapat, meskipun saya tidak menyadari bahwa mereka sedang menulis postingan dan sebaliknya,” kata Turner. “Saya tidak terkejut bahwa mereka menulis tentang itu, mengingat risiko bagi pengguna WordPress.”

Dia telah menghubungi pihak berwenang mengenai praktik pengkodean tidak etis dan pelanggaran privasi Pipdig.

“Dari sisi saya, saya telah berhubungan dengan Action Fraud (mengirimkan laporan melalui situs web mereka) dan NCSC (yang mengarahkan saya kembali ke Action Fraud dan memberi saya nomor untuk dihubungi). Dari pihak pipdig, ada ancaman tindakan hukum di postingan blog mereka tapi saya belum menerima apa-apa.”

Tanggapan Publik Pipdig Melewati Kekhawatiran Kritis

Direktur Kreatif Pipdig Phil Clothier menerbitkan tanggapan publik dari perusahaan yang dibuka dengan menggolongkan penyelidikan baru-baru ini sebagai "berbagai tuduhan dan desas-desus yang menyebar tentang pipdig" dan termasuk permohonan emosional tentang betapa menyedihkan perkembangan terakhir bagi perusahaannya. Dia mengklaim bahwa timnya dan pendukung mereka dilecehkan.

Setelah mengeluarkan versi 4.8.0 dari plugin P3, menghapus beberapa tetapi tidak semua kode yang menyinggung, Clothier memilih format gaya Tanya Jawab untuk posnya, menempatkan setiap pertanyaan dalam bentuk saat ini:

Apakah Anda pesaing DDOS?
Tidak.

Apakah Anda "membunuh" situs?
Tidak!

Apakah Anda memiliki kemampuan untuk mematikan situs melalui pipdig Power Pack?
Tidak

Mengenai fitur "kill switch" yang mereka buat, yang mendeteksi semua tabel dengan awalan WordPress dan menjatuhkan masing-masing, Clothier mengatakan itu hanyalah fungsi untuk mengatur ulang situs kembali ke pengaturan default. Dia sengaja salah mengartikan apa yang dilakukannya:

Ada fungsi dalam versi plugin yang lebih lama yang dapat digunakan untuk mengatur ulang situs kembali ke pengaturan default. Fungsi ini tidak memiliki risiko penggunaan yang berbahaya atau tidak disengaja. Saya dapat mengatakan dengan pasti bahwa tidak ada risiko bagi situs Anda jika Anda menggunakan tema pipdig. Fitur ini telah digali dan diberi label "Kill Switch" untuk dampak negatif maksimum pada kami.

Clothier mengklaim fungsi tersebut tersedia di plugin P3 pada Juli 2018 ketika pihak ketiga mulai memposting tema Pipdig untuk dijual di situs mereka sendiri:

Pihak ketiga dapat mengunduh semua tema kami secara tidak sah dan mempostingnya di tiruan situs kami sendiri. Ini termasuk pratinjau tema kami dan kemampuan untuk membelinya. Kami pertama kali diberitahu tentang ini oleh orang-orang yang telah membeli tema pipdig dari sana, tetapi menemukan bahwa fitur tertentu tidak berfungsi dengan benar. Setelah diselidiki, kami menemukan bahwa korban telah membeli tema dari pihak ke-3, mengira itu adalah kami. Pihak ketiga tidak hanya memperoleh keuntungan finansial dari pembayaran tema, tetapi juga menggunakannya sebagai cara untuk menyuntikkan malware dan iklan ke situs korban. Fungsi reset diberlakukan untuk menghapus kemampuan pihak ke-3 untuk meng-host situs pratinjau dengan tema kami. Itu berhasil, dan sejak itu mereka menghilang. Fungsi tersebut kemudian dihapus di versi plugin yang lebih baru.

Ini adalah klaim yang salah, seperti yang ditunjukkan Wordfence dalam artikel yang diperbarui. Contoh pertama dari kode yang bertanggung jawab untuk penghapusan basis data dilakukan pada plugin pada November 2017.

Perusahaan gagal mengatasi masalah paling kritis yang disajikan dalam analisis Wordfence dalam langkah pertamanya saat mengeluarkan pernyataan publik. Alih-alih, dalam hal mengoordinasikan serangan DDoS terhadap pesaing, Pipdig menyalahkan pengguna dan menyarankan bahwa mereka mungkin telah menambahkan URL pesaing ke situs mereka.

“Kami sekarang sedang mencari tahu mengapa fungsi ini mengembalikan url ini,” kata Clothier. “Namun, tampaknya menunjukkan bahwa beberapa 'URL Penulis' telah disetel ke 'kotrynabassdesign.com'. Saat ini kami tidak tahu mengapa ini terjadi, atau apakah pemilik situs sengaja mengubahnya.”

Penyelidikan lebih lanjut yang diterbitkan oleh Wordfence hari ini menunjukkan bahwa Pipdig juga menambahkan kode DDoS ke template Blogger dan secara aktif mengeluarkan permintaan jahat hingga kemarin:

Selama penyelidikan plugin dan tema WordPress Pipdig, kami juga menemukan beberapa kode aneh yang terkait dengan tema Blogger mereka. Kode ini adalah bagian dari kampanye DDoS yang dicurigai Pipdig melawan pesaing mereka, dan aktif hingga 1 April, empat hari setelah penolakan Pipdig atas perilaku tersebut.

Beberapa tema Blogger Pipdig telah dikonfirmasi untuk melakukan panggilan JavaScript eksternal ke server Pipdig, khususnya ke skrip hXXps://pipdigz[.]co[.]uk/js/zeplin1.js.

Pada tanggal 31 Maret, saat penyelidikan dipublikasikan, Pipdig menghapus repositori Bitbucket publiknya dan menggantinya dengan "yang bersih", menghapus tiga tahun riwayat komit. Wordfence dan banyak lainnya mengkloning repositori sebelum dihapus dan menyimpan snapshot halaman untuk dikutip dalam penyelidikan.

Pernyataan publik Pipdig berisi sejumlah klaim palsu lainnya yang diuraikan dalam bagian tindak lanjut Wordfence dengan contoh kode. Clothier menutup artikel dengan melontarkan fitnah di media, mungkin untuk mendorong pelanggan agar tidak mempercayai apa yang mereka baca dari sumber lain.

Saya menghubungi Pipdig untuk komentar mereka tentang peristiwa baru-baru ini, tetapi Clothier menolak untuk menjawab pertanyaan saya. Salah satunya adalah mengapa plugin menonaktifkan plugin caching Bluehost tanpa memberi tahu pelanggan.

Clothier mengatakan dia tidak memiliki komentar di luar apa yang dia katakan dalam pernyataan publik tetapi mendorong siapa pun yang tertarik untuk membaca komentar baru yang ditambahkan ke kode dalam versi 4.9.0:

Kami juga telah memperbarui versi 4.9.0 dari plugin yang menyertakan komentar tambahan dalam kode, yang diharapkan akan membantu menyelesaikan masalah seperti masalah dengan caching Bluehost dan filter the_content().

Jika ada yang tidak yakin, kami sarankan untuk memperbarui ke versi terbaru seperti biasa. Namun kami juga berpendapat bahwa versi sebelumnya juga tidak memiliki masalah serius.

Pipdig menolak menjawab pertanyaan tentang lisensi tetapi produknya tampaknya tidak berlisensi GPL. Ini mungkin mengapa perusahaan menganggapnya dalam haknya untuk mengambil tindakan terhadap mereka yang mereka yakini telah "mencuri" tema mereka.

Pelanggan Pipdig Berbagi Reaksi Campuran terhadap Laporan Pintu Belakang Vendor dan Serangan DDoS

Dalam apa yang mungkin merupakan salah satu pelanggaran paling berani yang pernah saya lihat dari perusahaan tema dalam sejarah WordPress, basis pengguna Pipdig secara tidak sadar telah digunakan untuk menargetkan pesaing perusahaan. Terlepas dari motif perusahaan dalam memerangi distribusi tema mereka yang tidak sah, jenis pintu belakang dan penulisan ulang konten yang dirahasiakan ini tidak dapat dipertahankan. Mereka memangsa kepercayaan pengguna dan dalam hal ini korban utamanya adalah blogger.

Salah satu aspek yang lebih membingungkan dari cerita ini adalah bahwa banyak pengguna Pipdig tampaknya tidak terpengaruh oleh beratnya temuan dalam laporan ini. Tanpa pengetahuan penuh tentang cara kerja suatu produk, banyak pelanggan membuat keputusan berdasarkan bagaimana perasaan mereka tentang perusahaan, terlepas dari dihadapkan pada fakta yang seharusnya membuat mereka mempertanyakan pengalaman mereka.

Yang lain marah karena situs mereka digunakan dalam serangan. Menyiapkan tema baru bukanlah tugas sepele bagi pengguna non-teknis yang mungkin harus membayar pengembang untuk meluncurkan situs mereka sejak awal.

“Pikiran saya benar-benar terpesona oleh tanggapan publik pipdig,” kata Jem Turner. “Saya mengerti bahwa mereka mengandalkan latar belakang non-teknologi pengguna mereka untuk memperdaya mereka, dan itu tampaknya berhasil pada awalnya, tetapi siapa pun yang memiliki sedikit pun pengetahuan pengkodean dapat melihat bahwa mereka berbohong dan saya benar-benar tidak mengerti bagaimana mereka pikir mereka akan lolos begitu saja.”

Insiden ini menyoroti betapa tidak diaturnya plugin komersial dan ekosistem tema dan betapa sedikit perlindungan yang dimiliki pengguna dari perusahaan yang menyalahgunakan kekuasaan mereka. Jika Anda adalah pelanggan Pipdig yang terkena dampak insiden ini, tidak ada jaminan bahwa perusahaan tidak akan membangun lebih banyak pintu belakang ke situs Anda di masa mendatang. Pembaruan plugin tidak ditinjau oleh otoritas apa pun. Untungnya, ada beberapa tindakan yang dapat Anda lakukan untuk menciptakan lingkungan yang lebih aman bagi situs web Anda.

Pertama, cari tema dan plugin berlisensi GPL, karena mereka memberi Anda lebih banyak kebebasan sebagai pengguna dan kompatibel dengan lisensi legal WordPress. Produk berlisensi GPL juga merupakan indikasi kuat bahwa penulis menghormati kebebasan pengguna dan prinsip ekonomi bersama yang didukung oleh lisensi sumber terbuka ini.

Banyak perusahaan tema terkemuka memilih untuk meng-host plugin pendamping produk mereka di WordPress.org untuk kemudahan distribusi dan pembaruan pengiriman. Direktori resmi tidak mengizinkan praktik pengkodean teduh semacam ini yang dijelaskan dalam artikel ini dan semua plugin melalui tinjauan keamanan oleh Tim Plugin WordPress. Jika Anda khawatir tentang kualitas kode dan potensi penyalahgunaan, lakukan sedikit riset tentang calon penyedia tema komersial Anda berikutnya atau pilih tema dan plugin gratis yang dihosting WordPress.org yang telah menjalani proses pemeriksaan yang lebih ketat.