• Homepage
  • Articoli
  • Guida
  • Pipdig aggiorna il plug-in P3 dopo che i rapporti hanno esposto le backdoor dei fornitori, il kill switch integrato e il codice DDoS dannoso

Pipdig aggiorna il plug-in P3 dopo che i rapporti hanno esposto le backdoor dei fornitori, il kill switch integrato e il codice DDoS dannoso

Pubblicato: 2019-04-03

Durante il fine settimana, Pipdig, una piccola azienda di temi commerciali, è stata al centro di uno scandalo dopo che diversi rapporti hanno esposto una litania di aggiunte di codice non etiche al suo plug-in Pipdig Power Pack (P3).

Venerdì 29 marzo, l'analista delle minacce di Wordfence Mikey Veenstra ha pubblicato un rapporto con esempi di codice delle backdoor Pipdig integrate nel loro plugin, insieme ad alcune aggiunte sgradevoli e discutibili al codice.

"Abbiamo confermato che il plug-in, Pipdig Power Pack (o P3), contiene codice che è stato offuscato con nomi di variabili, nomi di funzioni e commenti fuorvianti per nascondere queste capacità", ha affermato Veenstra.

Questi includono una password non autenticata reimpostata su una stringa codificata, che è stata deliberatamente oscurata con commenti sul codice che indicano che è stata aggiunta per "controllare la presenza di nuovi canali social da aggiungere alla barra di navigazione". Veenstra ha anche dimostrato come il plug-in contenesse il codice per l'eliminazione non autenticata del database, in cui il team di Pipdig poteva distruggere in remoto qualsiasi sito WordPress utilizzando il plug-in P3.

Il codice per l'eliminazione remota del sito è stato rimosso nella versione 4.8.0 ma è ancora un problema per gli utenti che non hanno aggiornato. Michael Waterfall, iOS Engineer di ASOS, ha testato la funzione "kill switch" e ha dimostrato che funziona ancora con le versioni precedenti.

L'indagine di Veenstra ha anche scoperto chiamate remote discutibili negli eventi cron del plug-in, contenuti non divulgati e riscritture della configurazione e un elenco di plug-in popolari che vengono immediatamente disattivati ​​quando P3 viene attivato, all'insaputa dell'utente. Ha scoperto che alcuni di questi plug-in sono disattivati ​​insieme ad admin_init, quindi qualsiasi utente che tenti di riattivare i plug-in non si bloccherà.

Wordfence stima che il plug-in P3 abbia una base di installazione di 10.000-15.000 siti. Le modifiche apportate nella versione 4.8.0 del plugin non sono identificate in modo trasparente nel log delle modifiche, quindi non è facile per gli utenti sapere cosa è cambiato. Il filtraggio dei contenuti e le disattivazioni dei plugin rimangono nella versione più recente. Questi tipi di funzioni velate eseguite senza autorizzazione potrebbero avere conseguenze indesiderate sui siti che utilizzano il plug-in, che gli utenti non tecnici potrebbero non essere in grado di riparare da soli.

Il plug-in Pipdig P3 ha eseguito un attacco DDoS sul sito di un concorrente

Jem Turner, uno sviluppatore web freelance con sede nel Regno Unito, ha pubblicato una lunga analisi del plug-in P3 lo stesso giorno in cui Wordfence ha pubblicato la sua analisi. Ha approfondito ulteriormente le richieste remote, dimostrando come Pipdig abbia utilizzato il plug-in P3 per eseguire un attacco DDoS su un concorrente che fornisce anche temi WordPress e servizi di installazione ai blogger. Il codice attiva un cron job orario sui siti degli utenti, utilizzando efficacemente i server dei loro clienti per inviare richieste dannose al sito della concorrenza.

Il commento sul codice ci dice che si tratta di "controllare la cache della CDN (rete di distribuzione dei contenuti)". Non è. Questo sta eseguendo una richiesta GET su un file (id39dqm3c0_license_h.txt) seduto su pipdigz.co.uk, che ieri mattina ha restituito "https://kotrynabassdesign.com/wp-admin/admin-ajax.php" nel corpo della risposta.

Ogni singola ora notte e giorno, senza alcun intervento manuale, qualsiasi blogger che esegue il plug-in pipdig invierà una richiesta con un agente utente falso a 'https://kotrynabassdesign.com/wp-admin/admin-ajax.php' con un messaggio casuale stringa numerica allegata. Questo sta effettivamente eseguendo un DDoS (Distributed Denial of Service) su piccola scala sul server di kotrynabassdesign.com.

Turner ha anche contattato Kotryna Bass, concorrente di Pipdig, che ha affermato di aver contattato il suo host dopo aver scoperto che il suo file admin-ajax.php era sotto qualche tipo di attacco. Gli scambi di Bass con il suo ospite sono anche pubblicati nel rapporto di Turner.

Il post di Turner ha spiegato come il codice del plug-in P3 di Pipdig ha manipolato i collegamenti per puntare ai propri prodotti e servizi quando un utente include un collegamento a un concorrente nel contenuto:

Qui abbiamo il plug-in di pipdig che cerca menzioni di "blogerize.com" con la stringa divisa in due e riunita - concatenata - per rendere più difficile trovare menzioni di concorrenti quando si esegue un "Trova nei file" di massa attraverso il plug-in (tra le altre cose ). Quando il plug-in trova collegamenti a blogerize.com nel contenuto del blogger (post, pagine), vengono sostituiti con un collegamento a "pipdig.co/shop/blogger-to-wordpress-migration/", ovvero i servizi di migrazione del blog di pipdig. Lo scambio di questi collegamenti aumenta il vantaggio SEO di pipdig e la stragrande maggioranza dei blogger non noterebbe lo switcheroo (soprattutto perché se la pagina/il post fosse stato modificato, il collegamento per blogerize apparirebbe normalmente nel back-end).

Il plug-in non ha chiesto il permesso agli utenti prima di eseguire una di queste azioni e la maggior parte di esse è stata implementata con codice offuscato. L'indagine di Turner copre anche il modo in cui il plug-in P3 potrebbe raccogliere dati e modificare le password dell'amministratore. Molti dei risultati si sovrappongono all'analisi di Wordfence.

"Ero consapevole del fatto che Wordfence era stato contattato per un parere, anche se non sapevo che stessero scrivendo un post e viceversa", ha detto Turner. "Non sono rimasto sorpreso che ne abbiano scritto comunque, dato il rischio per gli utenti di WordPress."

È stata in contatto con le autorità in merito alle pratiche di codifica non etiche di Pipdig e alle violazioni della privacy.

“Dal mio punto di vista, sono stato in contatto con Action Fraud (ha inviato una segnalazione tramite il loro sito Web) e NCSC (che mi ha indicato di nuovo Action Fraud e mi ha dato un numero da chiamare). Da parte di pipdig, ci sono minacce di azioni legali nel loro post sul blog, ma non ho ancora ricevuto nulla.

La risposta del pubblico di Pipdig ignora le preoccupazioni critiche

Il direttore creativo di Pipdig, Phil Clothier, ha pubblicato una risposta pubblica della società che si apre caratterizzando le recenti indagini come "varie accuse e voci che si stanno diffondendo su pipdig" e include un appello emotivo su quanto siano stati dolorosi i recenti sviluppi per la sua azienda. Afferma che la sua squadra e i suoi sostenitori sono stati molestati.

Dopo aver eliminato la versione 4.8.0 del plugin P3, rimuovendo parte ma non tutto il codice offensivo, Clothier opta per un formato in stile Q&A per il suo post, ponendo ogni domanda al presente:

Siete concorrenti DDOS?
No.

"Uccidi" i siti?
No!

Hai la possibilità di uccidere i siti tramite il Power Pack pipdig?
No

Per quanto riguarda la funzione "kill switch" che hanno integrato, che rileva tutte le tabelle con il prefisso di WordPress e rilascia ciascuna di esse, Clothier ha affermato che si trattava semplicemente di una funzione per ripristinare le impostazioni predefinite di un sito. Ha deliberatamente travisato ciò che fa:

C'era una funzione in una versione precedente del plug-in che poteva essere utilizzata per ripristinare un sito alle impostazioni predefinite. Questa funzione non presentava alcun rischio di utilizzo dannoso o non intenzionale. Posso dire categoricamente che non c'erano rischi per il tuo sito se stavi usando un tema pipdig. Questa funzione è stata recuperata ed etichettata come "Kill Switch" per il massimo impatto negativo su di noi.

Clothier afferma che la funzione era disponibile nel plug-in P3 nel luglio 2018, quando una terza parte ha iniziato a pubblicare temi Pipdig in vendita sul proprio sito:

Una terza parte è stata in grado di scaricare tutti i nostri temi illegittimamente e pubblicarli su un clone del nostro sito. Ciò includeva le anteprime dei nostri temi e la possibilità di acquistarli. Siamo stati avvisati per la prima volta da persone che avevano acquistato un tema pipdig da lì, ma stavano scoprendo che alcune funzionalità non funzionavano correttamente. Dopo l'indagine, abbiamo scoperto che la vittima aveva acquistato il tema dalla terza parte, pensando che fossimo noi. La terza parte non solo ha ottenuto il vantaggio finanziario del pagamento del tema, ma lo ha anche utilizzato come un modo per iniettare malware e pubblicità nel sito della vittima. La funzione di ripristino è stata implementata per rimuovere la capacità di terze parti di ospitare siti di anteprima con i nostri temi. Ha funzionato e da allora sono scomparsi. La funzione è stata quindi rimossa in una versione successiva del plugin.

Questa è una falsa affermazione, come ha sottolineato Wordfence in un articolo aggiornato. La prima istanza del codice responsabile dell'eliminazione del database è stata impegnata nel plug-in a novembre 2017.

La società non ha affrontato le preoccupazioni più critiche presentate nell'analisi di Wordfence nel suo primo passaggio al rilascio di una dichiarazione pubblica. Invece, sulla questione del coordinamento di un attacco DDoS ai concorrenti, Pipdig incolpa gli utenti e suggerisce che potrebbero aver aggiunto l'URL del concorrente ai loro siti.

"Ora stiamo esaminando il motivo per cui questa funzione restituisce questo URL", ha affermato Clothier. “Tuttavia, sembra suggerire che alcuni degli 'URL dell'autore' siano stati impostati su 'kotrynabassdesign.com'. Al momento non sappiamo perché questo sia il caso, o se il proprietario del sito lo abbia intenzionalmente modificato".

Ulteriori indagini pubblicate oggi da Wordfence hanno mostrato che Pipdig ha anche aggiunto codice DDoS ai suoi modelli di Blogger e fino a ieri ha emesso attivamente richieste dannose:

Durante l'indagine sul plugin e sui temi WordPress di Pipdig, ci siamo imbattuti anche in alcuni codici curiosi associati ai loro temi Blogger. Questo codice fa parte della sospetta campagna DDoS di Pipdig contro il loro concorrente ed è stato attivo fino al 1 aprile, quattro giorni dopo il rifiuto di Pipdig di qualsiasi comportamento del genere.

È stato confermato che alcuni dei temi Blogger di Pipdig effettuano chiamate JavaScript esterne al server di Pipdig, in particolare allo script hXXps://pipdigz[.]co[.]uk/js/zeplin1.js.

Il 31 marzo, quando le indagini sono diventate pubbliche, Pipdig ha cancellato il suo repository Bitbucket pubblico e lo ha sostituito con uno "pulito", rimuovendo tre anni di cronologia dei commit. Wordfence e molti altri hanno clonato il repository prima che fosse cancellato e salvato istantanee di pagine da citare nell'indagine.

La dichiarazione pubblica di Pipdig contiene una serie di altre false affermazioni che sono delineate nel pezzo successivo di Wordfence con esempi di codice. Clothier chiude l'articolo insultando la stampa, presumibilmente per incoraggiare i clienti a non fidarsi di ciò che leggono da altre fonti.

Ho contattato Pipdig per il loro commento sugli eventi recenti, ma Clothier ha rifiutato di rispondere a nessuna delle mie domande. Uno di questi è stato il motivo per cui il plug-in disabilita il plug-in di memorizzazione nella cache di Bluehost senza informare i clienti.

Clothier ha detto di non avere commenti oltre a quello che ha detto nella dichiarazione pubblica, ma ha incoraggiato chiunque fosse interessato a leggere i nuovi commenti aggiunti al codice nella versione 4.9.0:

Abbiamo anche aggiornato la versione 4.9.0 del plugin che include commenti extra nel codice, che si spera aiutino a chiarire cose come problemi con la memorizzazione nella cache di Bluehost e il filtro the_content().

Se qualcuno non è sicuro, consigliamo di aggiornare come sempre all'ultima versione. Tuttavia sosteniamo anche che anche le versioni precedenti non presentassero problemi seri.

Pipdig ha rifiutato di rispondere alle domande sulla licenza, ma i prodotti non sembrano essere dotati di licenza GPL. Forse è per questo che l'azienda ha ritenuto in suo diritto intervenire nei confronti di coloro che, secondo loro, avrebbero “rubato” i loro temi.

I clienti di Pipdig condividono reazioni contrastanti ai rapporti di backdoor dei fornitori e attacchi DDoS

In quello che è forse uno degli abusi più sfacciati che abbia mai visto da parte di un'azienda di temi nella storia di WordPress, la base di utenti di Pipdig è stata inconsapevolmente utilizzata per prendere di mira i concorrenti dell'azienda. Indipendentemente dal motivo dell'azienda nel combattere la distribuzione non autorizzata dei propri temi, questi tipi di backdoor e riscritture di contenuti non divulgati sono indifendibili. Predano la fiducia degli utenti e in questo caso le vittime erano principalmente blogger.

Uno degli aspetti più sconcertanti di questa storia è che molti utenti di Pipdig sembrano non essere turbati dalla gravità dei risultati di questi rapporti. Senza la piena conoscenza del funzionamento interno di un prodotto, molti clienti prendono decisioni in base a come si sentono nei confronti di un'azienda, indipendentemente dal fatto che si trovino di fronte a fatti che dovrebbero indurli a mettere in discussione le loro esperienze.

Altri sono arrabbiati per aver utilizzato i loro siti in un attacco. Prepararsi su un nuovo tema non è un compito banale per gli utenti non tecnici che potrebbero aver dovuto pagare uno sviluppatore per lanciare i loro siti in primo luogo.

"La mia mente è assolutamente sbalordita dalla risposta pubblica di pipdig", ha detto Jem Turner. "Capisco che contavano sul background completamente non tecnologico dei loro utenti per ingannarli, e all'inizio sembrava certamente funzionare, ma chiunque abbia anche la minima conoscenza di programmazione può vedere che stanno mentendo e io sinceramente non capisco come pensano di farla franca".

Questo incidente mette in luce quanto non siano regolamentati i plugin commerciali e l'ecosistema dei temi e quanto poca protezione abbiano gli utenti dalle aziende che abusano del loro potere. Se sei un cliente Pipdig colpito da questo incidente, non vi è alcuna garanzia che la società non costruirà più backdoor nel tuo sito in futuro. Gli aggiornamenti del plugin non vengono esaminati da alcun tipo di autorità. Fortunatamente, ci sono alcune azioni che puoi intraprendere per creare un ambiente più sicuro per il tuo sito web.

Innanzitutto, cerca temi e plug-in con licenza GPL, perché ti garantiscono più libertà come utente e sono compatibili con la licenza legale di WordPress. I prodotti con licenza GPL sono anche una forte indicazione del fatto che gli autori rispettano le libertà degli utenti e i principi economici condivisi supportati da questa licenza open source.

Molte rinomate aziende di temi scelgono di ospitare i plug-in complementari dei loro prodotti su WordPress.org per facilitare la distribuzione e la spedizione degli aggiornamenti. La directory ufficiale non consente questo tipo di pratiche di codifica losche descritte in questo articolo e tutti i plugin vengono sottoposti a una revisione della sicurezza da parte del WordPress Plugin Team. Se sei preoccupato per la qualità del codice e il potenziale abuso, fai una piccola ricerca sul tuo prossimo potenziale fornitore di temi commerciali o opta per temi e plugin gratuiti ospitati da WordPress.org che sono stati sottoposti a un processo di controllo più rigoroso.