• 홈페이지
  • 조항
  • 가이드
  • Pipdig, 공급업체 백도어, 내장 킬 스위치 및 악성 DDoS 코드 노출 후 P3 플러그인 업데이트

Pipdig, 공급업체 백도어, 내장 킬 스위치 및 악성 DDoS 코드 노출 후 P3 플러그인 업데이트

게시 됨: 2019-04-03

주말 동안 소규모 상업 테마 회사인 Pipdig는 여러 보고서에서 Pipdig Power Pack(P3) 플러그인에 비윤리적인 코드 추가를 폭로한 후 스캔들의 중심에 있었습니다.

3월 29일 금요일, Wordfence 위협 분석가 Mikey Veenstra는 Pipdig의 플러그인에 내장된 백도어의 코드 예제와 일부 불쾌하고 의심스러운 코드 추가 사항이 포함된 보고서를 발표했습니다.

Veenstra는 "플러그인 Pipdig Power Pack(또는 P3)이 이러한 기능을 숨기기 위해 오해의 소지가 있는 변수 이름, 함수 이름 및 주석으로 난독화된 코드를 포함하고 있음을 확인했습니다."라고 말했습니다.

여기에는 "내비바에 추가할 새로운 소셜 채널을 확인"하기 위해 추가되었음을 나타내는 코드 주석으로 의도적으로 가려진 하드 코딩된 문자열로의 인증되지 않은 비밀번호 재설정이 포함됩니다. Veenstra는 또한 Pipdig 팀이 P3 플러그인을 사용하여 모든 WordPress 사이트를 원격으로 파괴할 수 있는 인증되지 않은 데이터베이스 삭제를 위한 코드가 플러그인에 포함된 방법을 보여주었습니다.

원격 사이트 삭제를 위한 코드는 버전 4.8.0에서 제거되었지만 업데이트하지 않은 사용자에게는 여전히 문제입니다. ASOS의 iOS 엔지니어인 Michael Waterfall은 "킬 스위치" 기능을 테스트했으며 이전 버전에서도 여전히 작동함을 보여주었습니다.

Veenstra의 조사는 또한 플러그인의 cron 이벤트에서 의심스러운 원격 호출, 비공개 콘텐츠 및 구성 재작성, 사용자 모르게 P3가 활성화될 때 즉시 비활성화되는 인기 플러그인 목록을 발견했습니다. 그는 이러한 플러그인 중 일부가 admin_init와 함께 비활성화되어 사용자가 플러그인을 다시 활성화하려는 시도가 유지되지 않는다는 것을 발견했습니다.

Wordfence는 P3 플러그인의 설치 기반이 10,000-15,000개 사이트로 추정됩니다. 플러그인 버전 4.8.0에서 변경된 사항은 변경 로그에 투명하게 식별되지 않아 사용자가 변경된 사항을 알기가 쉽지 않다. 콘텐츠 필터링 및 플러그인 비활성화는 최신 릴리스에 남아 있습니다. 허가 없이 수행되는 이러한 유형의 숨겨진 기능은 플러그인을 사용하는 사이트에서 의도하지 않은 결과를 초래할 수 있으며, 이는 비기술적 사용자가 스스로 고칠 수 없을 수도 있습니다.

Pipdig P3 플러그인이 경쟁 사이트에서 DDoS 공격을 수행했습니다.

영국에 기반을 둔 프리랜스 웹 개발자인 Jem Turner는 Wordfence가 분석을 발표한 바로 그날 P3 플러그인에 대한 긴 분석을 발표했습니다. 그녀는 원격 요청을 자세히 살펴보고 Pipdig가 P3 플러그인을 사용하여 블로거에게 WordPress 테마 및 설치 서비스도 제공하는 경쟁업체에 대해 DDoS 공격을 수행하는 방법을 보여주었습니다. 이 코드는 사용자 사이트에서 시간당 크론 작업을 트리거하여 고객 서버를 효과적으로 사용하여 경쟁업체 사이트에 악의적인 요청을 보냅니다.

코드 주석은 이것이 "CDN(콘텐츠 전송 네트워크) 캐시를 확인하는 것"이라고 알려줍니다. 그렇지 않다. 이것은 어제 아침 응답 본문에 'https://kotrynabassdesign.com/wp-admin/admin-ajax.php'를 반환한 pipdigz.co.uk에 있는 파일(id39dqm3c0_license_h.txt)에 대해 GET 요청을 수행하고 있습니다.

매일 밤낮으로 수동 개입 없이 pipdig 플러그인을 실행하는 모든 블로거는 가짜 사용자 에이전트가 포함된 요청을 무작위로 'https://kotrynabassdesign.com/wp-admin/admin-ajax.php'로 보냅니다. 숫자 문자열이 첨부되었습니다. 이것은 kotrynabassdesign.com의 서버에서 소규모 DDoS(분산 서비스 거부)를 효과적으로 수행하고 있습니다.

Turner는 또한 Pipdig의 경쟁자인 Kotryna Bass에게 연락했는데, 그녀는 admin-ajax.php 파일이 일종의 공격을 받고 있다는 사실을 알게 된 후 호스트에게 연락했다고 말했습니다. 그녀의 호스트와 Bass의 교환은 또한 Turner의 보고서에 게시됩니다.

Turner의 게시물은 사용자가 콘텐츠에 경쟁업체에 대한 링크를 포함할 때 Pipdig의 P3 플러그인 코드가 링크를 조작하여 자체 제품 및 서비스를 가리키는 방법을 설명했습니다.

여기에 pipdig의 플러그인이 'blogerize.com'에 대한 멘션을 검색하고 문자열을 두 개로 분할하고 다시 연결하여 플러그인 전체에서 '파일에서 찾기'를 대량으로 수행할 때 경쟁자 멘션을 찾기 더 어렵게 만듭니다(다른 무엇보다도 ). 플러그인이 블로거의 콘텐츠(게시물, 페이지)에서 blogerize.com에 대한 링크를 찾으면 'pipdig.co/shop/blogger-to-wordpress-migration/'(즉, pipdig 자체 블로그 마이그레이션 서비스)에 대한 링크로 교체됩니다. 이 링크를 바꾸면 pipdig의 SEO 이점이 향상되고 대다수의 블로거는 switcheroo를 알아차리지 못할 것입니다(특히 페이지/게시물이 편집된 경우 blogerize에 대한 링크는 백엔드에 정상적으로 나타납니다).

플러그인은 이러한 작업을 수행하기 전에 사용자의 권한을 요청하지 않았으며 대부분이 난독화된 코드로 구현되었습니다. Turner의 조사는 또한 P3 플러그인이 데이터를 수집하고 관리자 암호를 변경할 수 있는 방법을 다룹니다. 많은 결과가 Wordfence의 분석과 겹칩니다.

Turner는 "Wordfence가 의견을 듣기 위해 연락했다는 것을 알고 있었지만 그들이 게시물을 작성하고 있다는 것을 몰랐고 그 반대의 경우도 마찬가지였습니다."라고 말했습니다. "하지만 WordPress 사용자의 위험을 감안할 때 그들이 그것에 대해 썼다는 사실에 놀라지 않았습니다."

그녀는 Pipdig의 비윤리적인 코딩 관행 및 개인 정보 보호 위반과 관련하여 당국과 접촉했습니다.

“제 입장에서는 Action Fraud(웹사이트를 통해 보고서 제출) 및 NCSC(Action Fraud로 다시 안내하고 연락할 번호를 알려준)와 연락을 취했습니다. pipdig 측에서 그들의 블로그 게시물에 법적 조치의 위협이 있지만 나는 아직 아무것도받지 못했습니다."

Pipdig의 공개 응답 스커트 중요한 우려 사항

Pipdig 크리에이티브 디렉터 Phil Clothier는 최근 조사를 "pipdig에 대한 다양한 비난 및 소문"으로 특징짓는 회사의 공개 답변을 발표했으며 최근 상황이 회사에 얼마나 고통스러운 일인지에 대한 감정적 탄원을 포함하고 있습니다. 그는 자신의 팀과 지지자들이 괴롭힘을 당하고 있다고 주장합니다.

P3 플러그인의 4.8.0 버전을 출시하고 공격적인 코드의 전부는 아니지만 일부를 제거한 후 Clothier는 게시물에 Q&A 스타일 형식을 선택하여 모든 질문을 현재 시제로 배치합니다.

당신은 DDOS 경쟁자입니까?
아니.

사이트를 "죽이나요"?
아니!

pipdig 파워 팩을 통해 사이트를 죽일 수 있습니까?
아니

워드프레스 접두사가 있는 모든 테이블을 감지하고 각 테이블을 삭제하는 "킬 스위치" 기능과 관련하여 Clothier는 단순히 사이트를 기본 설정으로 다시 재설정하는 기능이라고 말했습니다. 그는 의도적으로 그것이하는 일을 잘못 설명했습니다.

이전 버전의 플러그인에는 사이트를 기본 설정으로 다시 재설정하는 데 사용할 수 있는 기능이 있었습니다. 이 기능은 악의적이거나 의도하지 않은 사용의 위험이 없었습니다. pipdig 테마를 사용하는 경우 사이트에 위험이 없다고 단호하게 말할 수 있습니다. 이 기능은 우리에게 최대한의 부정적인 영향을 미치기 위해 발굴되어 "Kill Switch"라는 레이블이 지정되었습니다.

Clothier는 제3자가 자체 사이트에 Pipdig 테마를 게시하기 시작한 2018년 7월에 P3 플러그인에서 이 기능을 사용할 수 있다고 주장합니다.

제3자가 우리의 모든 테마를 불법적으로 다운로드하여 우리 사이트의 복제본에 게시할 수 있었습니다. 여기에는 테마 미리보기와 테마 구매 기능이 포함됩니다. 우리는 그곳에서 pipdig 테마를 구입한 사람들로부터 처음으로 이에 대해 경고를 받았지만 특정 기능이 제대로 작동하지 않는다는 것을 발견했습니다. 조사 결과 피해자가 저희인줄 알고 제3자로부터 테마를 구매한 것으로 확인되었습니다. 제3자는 테마 결제로 금전적 이득을 얻었을 뿐만 아니라 피해자 사이트에 악성코드와 광고를 주입하는 수단으로 이용하기도 했다. 우리 테마로 미리보기 사이트를 호스팅하는 제3자의 능력을 제거하기 위해 재설정 기능이 배치되었습니다. 그것은 효과가 있었고 그 이후로 사라졌습니다. 그런 다음 이 기능은 플러그인의 이후 버전에서 제거되었습니다.

업데이트된 기사에서 Wordfence가 지적했듯이 이것은 잘못된 주장입니다. 데이터베이스 삭제를 담당하는 코드의 첫 번째 인스턴스는 2017년 11월에 플러그인에 커밋되었습니다.

회사는 공개 성명을 발표할 때 첫 번째 단계에서 Wordfence 분석에 나타난 가장 중요한 문제를 해결하지 못했습니다. 대신, 경쟁자에 대한 DDoS 공격을 조정하는 문제에 대해 Pipdig는 사용자를 비난하고 경쟁자의 URL을 사이트에 추가했을 수 있다고 제안합니다.

“우리는 지금 이 함수가 이 URL을 반환하는 이유를 조사하고 있습니다.”라고 Clothier가 말했습니다. “그러나 일부 '저자 URL'이 'kotrynabassdesign.com'으로 설정되었음을 암시하는 것 같습니다. 왜 이런 일이 일어나는지, 아니면 사이트 소유자가 의도적으로 이것을 변경했는지 여부는 현재로서는 알 수 없습니다.”

오늘 Wordfence에서 발표한 추가 조사에 따르면 Pipdig는 또한 Blogger 템플릿에 DDoS 코드를 추가했으며 어제까지 악의적인 요청을 적극적으로 실행하고 있었습니다.

Pipdig의 WordPress 플러그인 및 테마를 조사하는 동안 Blogger 테마와 관련된 몇 가지 흥미로운 코드도 발견했습니다. 이 코드는 경쟁업체에 대한 Pipdig의 의심스러운 DDoS 캠페인의 일부이며 Pipdig가 그러한 행동을 거부한 지 4일 후인 4월 1일까지 활성 상태였습니다.

Pipdig의 Blogger 테마 중 일부는 Pipdig의 서버, 특히 hXXps://pipdigz[.]co[.]uk/js/zeplin1.js 스크립트에 대한 외부 JavaScript 호출을 수행하는 것으로 확인되었습니다.

3월 31일 조사가 공개되자 Pipdig는 공개 Bitbucket 저장소를 삭제하고 "깨끗한 저장소"로 교체하여 3년의 커밋 기록을 삭제했습니다. Wordfence와 다른 많은 사람들은 삭제되기 전에 리포지토리를 복제하고 조사에 인용할 페이지의 스냅샷을 저장했습니다.

Pipdig의 공개 성명에는 코드 예제와 함께 Wordfence의 후속 작품에 요약된 다른 여러 잘못된 주장이 포함되어 있습니다. Clothier는 아마도 고객이 다른 출처에서 읽은 내용을 신뢰하지 않도록 장려하기 위해 언론에 비방을 던지며 기사를 마무리합니다.

최근 이벤트에 대한 의견을 Pipdig에 문의했지만 Clothier는 내 질문에 대한 답변을 거부했습니다. 그 중 하나는 플러그인이 고객에게 알리지 않고 Bluehost의 캐싱 플러그인을 비활성화하는 이유였습니다.

Clothier는 공개 성명서에서 말한 것 외에는 어떤 코멘트도 하지 않았다고 말했지만 관심 있는 사람이라면 누구든지 버전 4.9.0의 코드에 추가된 새로운 코멘트를 읽어볼 것을 권장했습니다.

또한 코드에 추가 주석이 포함된 플러그인 버전 4.9.0을 업데이트했습니다. 이는 Bluehost 캐싱 및 the_content() 필터 문제와 같은 문제를 해결하는 데 도움이 될 것입니다.

확실하지 않은 사람이 있으면 항상 최신 버전으로 업데이트하는 것이 좋습니다. 그러나 우리는 또한 이전 버전에도 심각한 문제가 없었다고 주장합니다.

Pipdig는 라이선스에 대한 질문에 답변을 거부했지만 제품은 GPL 라이선스가 아닌 것으로 보입니다. 이것이 회사가 테마를 "도용"했다고 생각하는 사람들에게 조치를 취하는 것을 회사의 권리 내에서 간주한 이유일 수 있습니다.

Pipdig 고객, ​​벤더 백도어 및 DDoS 공격 보고에 대해 엇갈린 반응 공유

WordPress 역사상 테마 회사에서 본 것 중 가장 뻔뻔한 남용 사례 중 하나에서 Pipdig의 사용자 기반은 회사의 경쟁자를 표적으로 삼는 데 무의식적으로 사용되었습니다. 테마의 무단 배포를 방지하려는 회사의 동기와 상관없이 이러한 유형의 백도어 및 비공개 콘텐츠 재작성은 방어할 수 없습니다. 그들은 사용자의 신뢰를 먹으며 이 경우 희생자는 주로 블로거였습니다.

이 이야기의 더 당혹스러운 측면 중 하나는 많은 Pipdig 사용자가 이 보고서에서 발견된 결과의 중요성에 동요하지 않는 것 같습니다. 제품의 내부 작동에 대한 완전한 지식 없이 많은 고객은 경험에 의문을 제기해야 하는 사실에 직면하더라도 회사에 대해 어떻게 느끼는지에 따라 결정을 내립니다.

다른 사람들은 자신의 사이트가 공격에 사용되었다는 사실에 분노했습니다. 새로운 테마를 설정하는 것은 처음부터 사이트를 시작하기 위해 개발자에게 비용을 지불해야 했던 비기술적 사용자에게는 쉬운 일이 아닙니다.

"내 마음은 pipdig의 대중적 반응에 완전히 압도당했습니다."라고 Jem Turner는 말했습니다. "나는 그들이 사용자를 속이기 위해 완전히 비기술적인 사용자의 배경을 믿고 있다는 것을 이해하고 처음에는 확실히 작동하는 것처럼 보였지만 코딩 지식이 조금이라도 있는 사람은 그들이 거짓말을 하고 있다는 것을 알 수 있습니다. 그들이 어떻게 그것을 벗어날 것이라고 생각하는지 이해하지 못합니다.”

이 사건은 상용 플러그인과 테마 생태계가 얼마나 규제되지 않았는지, 그리고 권력을 남용하는 회사로부터 사용자가 얼마나 보호받지 못하고 있는지에 대한 스포트라이트를 비춥니다. 귀하가 이 사건의 영향을 받은 Pipdig 고객이라면 회사가 앞으로 귀하의 사이트에 더 이상 백도어를 구축하지 않을 것이라는 보장이 없습니다. 플러그인 업데이트는 어떤 종류의 기관에서도 검토하지 않습니다. 다행히도 웹 사이트를 위한 더 안전한 환경을 만들기 위해 취할 수 있는 몇 가지 조치가 있습니다.

먼저 GPL 라이선스 테마 및 플러그인을 찾으십시오. 사용자로서 더 많은 자유를 부여하고 WordPress의 법적 라이선스와 호환되기 때문입니다. GPL 라이선스 제품은 작성자가 사용자의 자유와 이 오픈 소스 라이선스가 지원하는 공유 경제 원칙을 존중한다는 강력한 표시이기도 합니다.

많은 평판이 좋은 테마 회사는 배포 및 업데이트 업데이트를 쉽게 하기 위해 WordPress.org에서 제품의 동반자 플러그인을 호스팅하기로 선택합니다. 공식 디렉토리는 이 기사에서 설명하는 이러한 종류의 그늘진 코딩 관행을 허용하지 않으며 모든 플러그인은 WordPress 플러그인 팀의 보안 검토를 거칩니다. 코드 품질과 남용 가능성이 우려된다면 차기 상용 테마 제공업체에 대해 약간의 조사를 하거나 보다 엄격한 심사 과정을 거친 무료 WordPress.org 호스팅 테마 및 플러그인을 선택하세요.