• ホームページ
  • 記事
  • ガイド
  • Pipdigは、レポートがベンダーのバックドア、組み込みのKill Switch、および悪意のあるDDoSコードを公開した後にP3プラグインを更新します

Pipdigは、レポートがベンダーのバックドア、組み込みのKill Switch、および悪意のあるDDoSコードを公開した後にP3プラグインを更新します

公開: 2019-04-03

週末の間、小さな商業テーマ企業であるPipdigは、複数のレポートがPipdig Power Pack(P3)プラグインへの非倫理的なコードの追加を暴露した後、スキャンダルの中心にありました。

3月29日金曜日、Wordfenceの脅威アナリストであるMikey Veenstraは、プラグインに組み込まれたバックドアPipdigのコード例と、コードへの不快で疑わしい追加を含むレポートを公開しました。

「プラグインであるPipdigPower Pack(またはP3)には、これらの機能を隠すために、誤解を招く変数名、関数名、コメントで難読化されたコードが含まれていることを確認しました」とVeenstra氏は述べています。

これには、ハードコードされた文字列への認証されていないパスワードのリセットが含まれます。これは、「ナビゲーションバーに追加する新しいソーシャルチャネルを確認する」ために追加されたことを示すコードコメントで意図的に隠されています。 Veenstraはまた、プラグインに認証されていないデータベース削除のコードが含まれていることを示しました。Pipdigチームは、P3プラグインを使用して任意のサイトのWordPressサイトをリモートで破棄できます。

リモートサイト削除のコードはバージョン4.8.0で削除されましたが、更新していないユーザーにとっては依然として懸念事項です。 ASOSのiOSエンジニアであるMichaelWaterfallは、「キルスイッチ」機能をテストし、以前のバージョンでも機能することを実証しました。

Veenstraの調査では、プラグインのcronイベントでの疑わしいリモート呼び出し、非公開のコンテンツと構成の書き換え、およびユーザーの知らないうちにP3がアクティブ化されるとすぐに非アクティブ化される人気のあるプラグインのリストも明らかになりました。 彼は、これらのプラグインの一部がadmin_initと一緒に非アクティブ化されているため、ユーザーがプラグインを再アクティブ化しようとしても固執しないことを発見しました。

Wordfenceは、P3プラグインのインストールベースが10,000〜15,000サイトであると見積もっています。 プラグインのバージョン4.8.0で行われた変更は、変更ログで透過的に識別されないため、ユーザーが何が変更されたかを簡単に知ることはできません。 コンテンツフィルタリングとプラグインの非アクティブ化は、最新のリリースのままです。 許可なく実行されたこれらのタイプのベール機能は、プラグインを使用しているサイトに意図しない結果をもたらす可能性があり、技術者以外のユーザーは自分で修正できない可能性があります。

PipdigP3プラグインが競合他社のサイトにDDoS攻撃を実行しました

英国を拠点とするフリーランスのWeb開発者であるJemTurnerは、Wordfenceが分析をリリースしたのと同じ日に、P3プラグインの長い分析を公開しました。 彼女はリモートリクエストをさらに掘り下げ、PipdigがP3プラグインを使用して、ブロガーにWordPressテーマとインストールサービスも提供している競合他社に対してDDoS攻撃を実行していることを示しました。 このコードは、ユーザーのサイトで1時間ごとのcronジョブをトリガーし、顧客のサーバーを効果的に使用して、競合他社のサイトに悪意のある要求を送信します。

コードコメントは、これが「CDN(コンテンツ配信ネットワーク)キャッシュをチェックしている」ことを示しています。 そうではありません。 これは、pipdigz.co.ukにあるファイル(id39dqm3c0_license_h.txt)に対してGETリクエストを実行しています。このファイルは、昨日の朝、応答本文に「https://kotrynabassdesign.com/wp-admin/admin-ajax.php」を返しました。

昼夜を問わず、手動による介入なしで、pipdigプラグインを実行しているブロガーは、偽のユーザーエージェントを含むリクエストを「https://kotrynabassdesign.com/wp-admin/admin-ajax.php」にランダムに送信します。番号文字列が添付されています。 これにより、kotrynabassdesign.comのサーバーで小規模なDDoS(分散型サービス拒否)が効果的に実行されます。

ターナーはまた、PipdigのライバルであるKotryna Bassにも連絡を取りました。彼は、admin-ajax.phpファイルが何らかの攻撃を受けていることを発見した後、ホストに連絡したと述べました。 バスと彼女のホストとのやり取りは、ターナーのレポートにも掲載されています。

ターナーの投稿では、ユーザーがコンテンツに競合他社へのリンクを含めたときに、PipdigのP3プラグインコードがリンクを操作して自社の製品やサービスを指すようにした方法を説明しました。

ここでは、pipdigのプラグインが、文字列を2つに分割して再結合(連結)した「blogerize.com」のメンションを検索し、プラグイン全体で「ファイル内検索」を大量に実行するときに競合他社のメンションを見つけにくくします。 )。 プラグインがブロガーのコンテンツ(投稿、ページ)でblogerize.comへのリンクを見つけると、それらは「pipdig.co/shop/blogger-to-wordpress-migration/」、つまりpipdig独自のブログ移行サービスへのリンクと交換されます。 これらのリンクを交換すると、pipdigに対するSEOのメリットが高まり、ブロガーの大多数はswitcherooに気付かないでしょう(特に、ページ/投稿が編集されたかのように、blogerizeへのリンクは通常どおりバックエンドに表示されます)。

プラグインは、これらのアクションを実行する前にユーザーの許可を求めず、ほとんどのアクションは難読化されたコードで実装されていました。 ターナーの調査では、P3プラグインがデータを収集して管理者パスワードを変更する方法についても説明しています。 調査結果の多くは、Wordfenceの分析と重複しています。

「Wordfenceが意見を求めて連絡を受けたことは知っていましたが、彼らが投稿を書いていることは知りませんでしたが、その逆もありました」とターナー氏は述べています。 「WordPressユーザーへのリスクを考えると、彼らがそれについて書いたのは驚きではありませんでした。」

彼女は、Pipdigの非倫理的なコーディング慣行とプライバシー侵害に関して当局と連絡を取り合っています。

「私の側からは、Action Fraud(彼らのウェブサイトからレポートを提出した)とNCSC(Action Fraudに戻って電話番号を教えてくれた)と連絡を取り合っています。 pipdigの側からは、彼らのブログ投稿に法的措置の脅威がありますが、私はまだ何も受け取っていません。」

Pipdigのパブリックレスポンススカートの重大な懸念

PipdigのクリエイティブディレクターであるPhilClothierは、最近の調査を「pipdigに関するさまざまな告発と噂が広まっている」と特徴づけ、最近の開発が彼の会社にとってどれほど悲惨なものであったかについての感情的な嘆願を含む、会社からの一般の反応を発表しました。 彼は彼のチームと彼らの支持者が嫌がらせを受けていると主張している。

4.8.0バージョンのP3プラグインをプッシュし、不快なコードのすべてではなく一部を削除した後、Clothierは自分の投稿にQ&Aスタイルの形式を選択し、すべての質問を現在形にします。

DDOSの競合相手ですか?
いいえ。

サイトを「殺す」のですか?
番号!

pipdig Power Packを介してサイトを強制終了する機能はありますか?
番号

彼らが組み込んだ「キルスイッチ」機能については、WordPressプレフィックスが付いたすべてのテーブルを検出し、それぞれを削除します。これは、サイトをデフォルト設定にリセットする機能にすぎないと、Clothier氏は述べています。 彼はそれが何をするのかを故意に誤って伝えました:

古いバージョンのプラグインには、サイトをデフォルト設定にリセットするために使用できる機能がありました。 この機能には、悪意のある、または意図しない使用のリスクはありませんでした。 pipdigテーマを使用していれば、サイトにリスクはなかったと断言できます。 この機能は、私たちに最大の悪影響を与えるために掘り下げられ、「キルスイッチ」とラベル付けされています。

Clothierは、サードパーティが自社サイトで販売するPipdigテーマの投稿を開始した2018年7月にP3プラグインでこの機能が利用可能になったと主張しています。

サードパーティは、私たちのすべてのテーマを違法にダウンロードし、私たち自身のサイトのクローンに投稿することができました。 これには、テーマのプレビューとそれらを購入する機能が含まれていました。 そこからpipdigテーマを購入した人から最初に警告を受けましたが、特定の機能が正しく機能しないことがわかりました。 調査の結果、被害者が私たちだと思って第三者からテーマを購入したことが判明しました。 サードパーティは、テーマの支払いによる金銭的利益を得るだけでなく、マルウェアや広告を被害者のサイトに注入する方法としても使用しました。 テーマを使用してプレビューサイトをホストするサードパーティの機能を削除するために、リセット機能が導入されました。 それはうまくいきました、そして彼らはそれ以来消えました。 その後、この関数はプラグインの新しいバージョンで削除されました。

Wordfenceが更新された記事で指摘したように、これは誤った主張です。 データベースの削除を担当するコードの最初のインスタンスは、2017年11月にプラグインにコミットされました。

同社は、公式声明を発表した最初のパスで、Wordfence分析で提示された最も重大な懸念に対処できませんでした。 代わりに、競合他社に対するDDoS攻撃を調整することに関して、Pipdigはユーザーを非難し、競合他社のURLをサイトに追加した可能性があることを示唆しています。

「現在、この関数がこのURLを返す理由を調査しています」とClothier氏は述べています。 「しかし、「作成者のURL」の一部が「kotrynabassdesign.com」に設定されていることを示唆しているようです。 現在、これが事実である理由、またはサイト所有者が意図的にこれを変更したかどうかはわかりません。」

Wordfenceが本日発表したさらなる調査によると、PipdigはBloggerテンプレートにDDoSコードも追加し、昨日まで悪意のあるリクエストを積極的に発行していたことがわかりました。

PipdigのWordPressプラグインとテーマの調査中に、Bloggerテーマに関連するいくつかの奇妙なコードにも出くわしました。 このコードは、競合他社に対するPipdigの疑わしいDDoSキャンペーンの一部であり、Pipdigがそのような動作を拒否してから4日後の4月1日まで有効でした。

PipdigのBloggerテーマの一部は、Pipdigのサーバー、特にスクリプトhXXps:// pipdigz [。] co [。] uk / js /zeplin1.jsに対して外部JavaScript呼び出しを行うことが確認されています。

3月31日、調査が公開されると、Pipdigは公開されているBitbucketリポジトリを削除し、「クリーンなリポジトリ」に置き換えて、3年間のコミット履歴を削除しました。 Wordfenceや他の多くの人は、リポジトリが削除される前にリポジトリのクローンを作成し、調査で引用するページのスナップショットを保存しました。

Pipdigの公式声明には、コード例を含むWordfenceのフォローアップ記事で概説されている他の多くの誤った主張が含まれています。 Clothierは、おそらく顧客が他の情報源から読んだものを信用しないように促すために、マスコミにアスペクションをキャストすることで記事を締めくくっています。

最近の出来事についてのコメントをPipdigに問い合わせましたが、Clothierは私の質問に答えることを拒否しました。 それらの1つは、プラグインが顧客に通知せずにBluehostのキャッシュプラグインを無効にする理由でした。

Clothierは、公式声明で述べたこと以外にコメントはないと述べたが、バージョン4.9.0でコードに追加された新しいコメントを読むことに興味のある人には次のように勧めた。

また、プラグインのバージョン4.9.0を更新しました。これには、コードに追加のコメントが含まれています。これにより、Bluehostキャッシングやthe_content()フィルターの問題などが解決されると期待されます。

不明な点がある場合は、いつものように最新バージョンに更新することをお勧めします。 ただし、以前のバージョンにも重大な問題はなかったと私たちは主張します。

Pipdigはライセンスに関する質問への回答を拒否しましたが、製品はGPLライセンスを取得していないようです。 これが、会社がテーマを「盗んだ」と信じている人に対して行動を起こす権利の範囲内であると考えた理由かもしれません。

Pipdigの顧客は、ベンダーのバックドアとDDoS攻撃の報告に対するさまざまな反応を共有しています

WordPressの歴史の中でテーマ会社から見た中でおそらく最も勇敢な虐待の1つであるが、Pipdigのユーザーベースは無意識のうちに会社の競合他社を標的にするために使用されてきた。 テーマの不正な配布に対抗するという会社の動機に関係なく、これらのタイプのバックドアや非公開のコンテンツの書き換えは弁護の余地がありません。 彼らはユーザーの信頼を食い物にし、この場合、被害者は主にブロガーでした。

この話のより不可解な側面の1つは、Pipdigのユーザーの多くが、これらのレポートの調査結果の重大さに気を取られていないように見えることです。 多くの顧客は、製品の内部の仕組みを完全に理解していなくても、自分の経験に疑問を投げかけるような事実に直面していても、会社についての自分の気持ちに基づいて決定を下します。

他の人は、自分のサイトが攻撃に使用されたことに腹を立てています。 新しいテーマを設定することは、最初にサイトを立ち上げるために開発者にお金を払わなければならなかったかもしれない技術者以外のユーザーにとっては簡単な作業ではありません。

「私の心は、pipdigの世論の反応に絶対に驚かされます」とJemTurnerは言いました。 「彼らがユーザーの完全に非技術的なバックグラウンドを頼りに彼らをぶち壊していることを理解しています。それは確かに最初は機能しているように見えましたが、コーディングの知識が少しでもあれば、彼らが嘘をついていることがわかります。私は本当に彼らがどうやってそれをうまくやっていくと思うのか理解できません。」

この事件は、商用プラグインとテーマのエコシステムがいかに規制されていないか、そしてユーザーが自分たちの力を乱用する企業からどれほど保護されていないかにスポットライトを当てています。 あなたがこの事件の影響を受けたPipdigの顧客である場合、会社が将来あなたのサイトにこれ以上のバックドアを構築しないという保証はありません。 プラグインの更新は、いかなる種類の機関によってもレビューされていません。 幸いなことに、Webサイトのより安全な環境を作成するために実行できるアクションがいくつかあります。

まず、GPLライセンスのテーマとプラグインを探します。これらは、ユーザーとしてより多くの自由を与え、WordPressの法的ライセンスと互換性があるためです。 GPLライセンス製品は、作成者がユーザーの自由と、このオープンソースライセンスがサポートする共通の経済原則を尊重していることを強く示しています。

多くの評判の良いテーマ企業は、更新の配布と出荷を容易にするために、WordPress.orgで製品のコンパニオンプラグインをホストすることを選択しています。 公式ディレクトリでは、この記事で説明されているこの種の怪しげなコーディング慣行は許可されておらず、すべてのプラグインはWordPressプラグインチームによるセキュリティレビューを受けています。 コードの品質と悪用の可能性について懸念がある場合は、次の将来の商用テーマプロバイダーについて少し調査するか、より厳密な審査プロセスを経た無料のWordPress.orgがホストするテーマとプラグインを選択してください。