Pipdig atualiza plug-in P3 após relatórios expor backdoors de fornecedores, kill switch integrado e código DDoS malicioso

No fim de semana, a Pipdig, uma pequena empresa de temas comerciais, esteve no centro de um escândalo depois que vários relatórios expuseram uma série de adições de código antiético ao seu plug-in Pipdig Power Pack (P3).

Na sexta-feira, 29 de março, o analista de ameaças do Wordfence, Mikey Veenstra, publicou um relatório com exemplos de código dos backdoors que o Pipdig construiu em seu plugin, juntamente com algumas adições desagradáveis ​​e questionáveis ​​ao código.

“Confirmamos que o plugin, Pipdig Power Pack (ou P3), contém código que foi ofuscado com nomes de variáveis, nomes de funções e comentários enganosos para ocultar esses recursos”, disse Veenstra.

Isso inclui uma redefinição de senha não autenticada para uma string codificada, que foi deliberadamente obscurecida com comentários de código indicando que foi adicionado para “verificar novos canais sociais para adicionar à barra de navegação”. Veenstra também demonstrou como o plug-in continha código para uma exclusão de banco de dados não autenticada, em que a equipe do Pipdig poderia destruir remotamente qualquer site WordPress usando o plug-in P3.

O código para exclusão do site remoto foi removido na versão 4.8.0, mas ainda é uma preocupação para os usuários que não atualizaram. Michael Waterfall, engenheiro de iOS da ASOS, testou a função “kill switch” e demonstrou que ainda funciona com versões anteriores.

Também confirma que eles mentiram. Eles _ainda_ têm a capacidade de limpar qualquer blog que não tenha sido atualizado para a nova versão do plugin (4.8.0), que eles lançaram às pressas para excluir o kill switch depois que foram expostos no outro dia. pic.twitter.com/bNMfRQUBpr

— Michael Waterfall (@mwaterfall) 31 de março de 2019

A investigação de Veenstra também descobriu chamadas remotas questionáveis ​​nos eventos cron do plug-in, conteúdo não divulgado e reescritas de configuração e uma lista de plug-ins populares que são imediatamente desativados quando o P3 é ativado, sem o conhecimento do usuário. Ele descobriu que alguns desses plugins são desativados junto com o admin_init, então qualquer tentativa de usuário de reativar os plugins não será mantida.

O Wordfence estima que o plug-in P3 tenha uma base de instalação de 10.000 a 15.000 sites. As mudanças feitas na versão 4.8.0 do plugin não são identificadas de forma transparente no changelog, então não é fácil para os usuários saberem o que mudou. A filtragem de conteúdo e as desativações de plugins permanecem na versão mais recente. Esses tipos de funções veladas executadas sem permissão podem ter consequências não intencionais em sites que usam o plug-in, que usuários não técnicos podem não conseguir corrigir sozinhos.

O plug-in Pipdig P3 executou um ataque DDoS no site de um concorrente

Jem Turner, um desenvolvedor web freelance baseado no Reino Unido, publicou uma longa análise do plug-in P3 no mesmo dia em que o Wordfence divulgou sua análise. Ela se aprofundou ainda mais nas solicitações remotas, demonstrando como o Pipdig está usando o plug-in P3 para realizar um ataque DDoS em um concorrente que também fornece temas WordPress e serviços de instalação para blogueiros. O código aciona um cron job de hora em hora nos sites dos usuários, usando efetivamente os servidores de seus clientes para enviar solicitações maliciosas ao site do concorrente.

O comentário do código nos diz que isso é “verificar o cache da CDN (rede de entrega de conteúdo)”. Não é. Isso está executando uma solicitação GET em um arquivo (id39dqm3c0_license_h.txt) localizado em pipdigz.co.uk, que ontem de manhã retornou 'https://kotrynabassdesign.com/wp-admin/admin-ajax.php' no corpo da resposta.

A cada hora, dia e noite, sem qualquer intervenção manual, qualquer blogueiro executando o plug-in pipdig enviará uma solicitação com um agente de usuário falso para 'https://kotrynabassdesign.com/wp-admin/admin-ajax.php' com um seqüência de números anexada. Isso está efetivamente realizando um DDoS (Distributed Denial of Service) de pequena escala no servidor do kotrynabassdesign.com.

Turner também entrou em contato com Kotryna Bass, concorrente do Pipdig, que disse que havia contatado seu host depois de descobrir que seu arquivo admin-ajax.php estava sob algum tipo de ataque. As trocas de Bass com seu anfitrião também são publicadas no relatório de Turner.

A postagem de Turner explicou como o código do plug-in P3 do Pipdig manipulou links para apontar para seus próprios produtos e serviços quando um usuário inclui um link para um concorrente no conteúdo:

Aqui temos o plugin do pipdig procurando por menções de 'blogerize.com' com a string dividida em duas e reunida – concatenada – para dificultar a localização de menções de concorrentes ao fazer um 'Find in Files' em massa no plugin (entre outras coisas ). Quando o plugin encontra links para blogerize.com no conteúdo do blogger (posts, páginas), eles são trocados por um link para 'pipdig.co/shop/blogger-to-wordpress-migration/' ou seja, os próprios serviços de migração de blog do pipdig. Trocar esses links aumenta o benefício de SEO para o pipdig, e a grande maioria dos blogueiros não notaria o switcheroo (especialmente como se a página/post fosse editada, o link para blogerize apareceria no backend normalmente).

O plugin não pediu permissão aos usuários antes de realizar qualquer uma dessas ações e a maioria delas foi implementada com código ofuscado. A investigação de Turner também cobre como o plug-in P3 pode coletar dados e alterar as senhas de administrador. Muitas das descobertas se sobrepõem à análise do Wordfence.

“Eu estava ciente de que o Wordfence havia sido contatado para uma opinião, embora eu não soubesse que eles estavam escrevendo um post e vice-versa”, disse Turner. “Não fiquei surpreso que eles escreveram sobre isso, dado o risco para os usuários do WordPress.”

Ela entrou em contato com as autoridades sobre as práticas antiéticas de codificação da Pipdig e violações de privacidade.

“Do meu lado, estive em contato com a Action Fraud (enviou um relatório pelo site) e o NCSC (que me indicou a Action Fraud e me deu um número para ligar). Do lado do pipdig, há ameaças de ação legal em sua postagem no blog, mas ainda não recebi nada.”

A resposta pública da Pipdig evita preocupações críticas

O diretor criativo da Pipdig, Phil Clothier, publicou uma resposta pública da empresa que começa caracterizando as investigações recentes como “várias acusações e rumores se espalhando sobre a pipdig” e inclui um apelo emocional sobre o quão angustiante os recentes desenvolvimentos foram para sua empresa. Ele afirma que sua equipe e seus torcedores estão sendo assediados.

Depois de lançar a versão 4.8.0 do plug-in P3, removendo alguns, mas não todo o código ofensivo, Clothier opta por um formato de perguntas e respostas para seu post, colocando todas as perguntas no tempo presente:

Você concorrentes DDOS?
Não.

Você “mata” sites?
Não!

Você tem a capacidade de matar sites através do pipdig Power Pack?
Não

Em relação ao recurso “kill switch” que eles incorporaram, que detecta todas as tabelas com o prefixo do WordPress e descarta cada uma delas, Clothier disse que era simplesmente uma função para redefinir um site de volta às configurações padrão. Ele deturpou deliberadamente o que faz:

Havia uma função em uma versão mais antiga do plug-in que poderia ser usada para redefinir um site de volta às configurações padrão. Esta função não apresentava risco de uso malicioso ou não intencional. Posso dizer categoricamente que não havia risco para o seu site se você estivesse usando um tema pipdig. Esse recurso foi desenterrado e rotulado como “Kill Switch” para o máximo impacto negativo sobre nós.

Clothier afirma que a função estava disponível no plug-in P3 em julho de 2018, quando um terceiro começou a postar temas Pipdig à venda em seu próprio site:

Um terceiro conseguiu baixar todos os nossos temas de forma ilegítima e postá-los em um clone do nosso próprio site. Isso incluiu visualizações de nossos temas e a capacidade de comprá-los. Fomos alertados sobre isso pela primeira vez por pessoas que compraram um tema pipdig de lá, mas estavam descobrindo que certos recursos não funcionavam corretamente. Após investigação, descobrimos que a vítima havia comprado o tema de terceiros, pensando que éramos nós. O terceiro não apenas ganhou o benefício financeiro do pagamento do tema, mas também o usou como forma de injetar malware e anúncios no site da vítima. A função de redefinição foi implementada para remover a capacidade de terceiros de hospedar sites de visualização com nossos temas. Funcionou, e desde então eles desapareceram. A função foi removida em uma versão posterior do plugin.

Esta é uma afirmação falsa, como o Wordfence apontou em um artigo atualizado. A primeira instância do código responsável pela exclusão do banco de dados foi confirmada no plugin em novembro de 2017.

A empresa não conseguiu abordar as preocupações mais críticas apresentadas na análise do Wordfence em sua primeira passagem ao emitir uma declaração pública. Em vez disso, na questão de coordenar um ataque DDoS aos concorrentes, Pipdig culpa os usuários e sugere que eles podem ter adicionado o URL do concorrente aos seus sites.

“Agora estamos investigando por que essa função está retornando esse URL”, disse Clothier. “No entanto, parece sugerir que alguns dos 'URLs do autor' foram definidos como 'kotrynabassdesign.com'. No momento, não sabemos por que esse é o caso ou se o proprietário do site mudou isso intencionalmente.”

Outras investigações publicadas pela Wordfence hoje mostraram que o Pipdig também adicionou código DDoS aos seus modelos do Blogger e estava emitindo ativamente solicitações maliciosas até ontem:

Durante a investigação do plugin e dos temas do WordPress do Pipdig, também encontramos alguns códigos curiosos associados aos temas do Blogger. Esse código faz parte da campanha suspeita de DDoS da Pipdig contra seu concorrente e estava ativo até 1º de abril, quatro dias após a negação de tal comportamento por parte da Pipdig.

Alguns dos temas do Blogger do Pipdig foram confirmados para fazer chamadas JavaScript externas para o servidor do Pipdig, especificamente para o script hXXps://pipdigz[.]co[.]uk/js/zeplin1.js.

Em 31 de março, quando as investigações se tornaram públicas, o Pipdig excluiu seu repositório público do Bitbucket e o substituiu por um “limpo”, removendo três anos de histórico de commits. O Wordfence e muitos outros clonaram o repositório antes de ser excluído e salvaram instantâneos de páginas para citar na investigação.

Aquele repositório limpo @pipdig publicado hoje cedo no lugar daquele que contém todo o seu código malicioso… Eles mudaram a data de lançamento relatada da versão 4.8.0. pic.twitter.com/YqKASTUZE7

— Nicky Bloor (@nickstadb) 1º de abril de 2019

A declaração pública de Pipdig contém várias outras alegações falsas que são descritas na peça de acompanhamento do Wordfence com exemplos de código. Clothier fecha o artigo lançando calúnias na imprensa, presumivelmente para encorajar os clientes a não confiarem no que lêem de outras fontes.

Entrei em contato com Pipdig para comentar sobre os eventos recentes, mas Clothier se recusou a responder a qualquer uma das minhas perguntas. Um deles foi por que o plug-in desativa o plug-in de cache do Bluehost sem informar os clientes.

Outro do plugin @pipdig. Se você usar um dos temas deles no @bluehost, eles diminuirão intencionalmente o seu site, desativando o plug-in de cache BlueHost, e poderão injetar conteúdo com o título "Seu host está deixando você lento?" CC @jemjabella @heyitsmikeyv pic.twitter.com/48DUXsDyBj

— Nicky Bloor (@nickstadb) 31 de março de 2019

Clothier disse que não tinha nenhum comentário além do que disse na declaração pública, mas encorajou qualquer pessoa interessada a ler os novos comentários adicionados ao código na versão 4.9.0:

Também atualizamos a versão 4.9.0 do plug-in que inclui comentários extras no código, o que esperamos ajudar a esclarecer coisas como problemas com o cache do Bluehost e o filtro the_content().

Se alguém não tiver certeza, recomendamos atualizar para a versão mais recente como sempre. No entanto, também afirmamos que as versões anteriores também não apresentavam problemas sérios.

A Pipdig se recusou a responder perguntas sobre licenciamento, mas os produtos não parecem ser licenciados pela GPL. Pode ser por isso que a empresa considerou seu direito tomar medidas contra aqueles que acreditam ter “roubado” seus temas.

Os clientes da Pipdig compartilham reações mistas a relatórios de backdoors de fornecedores e ataques DDoS

No que talvez seja um dos abusos mais descarados que já vi de uma empresa de temas na história do WordPress, a base de usuários do Pipdig foi usada sem saber para atingir os concorrentes da empresa. Independentemente do motivo da empresa em combater a distribuição não autorizada de seus temas, esses tipos de backdoors e reescritas de conteúdo não divulgados são indefensáveis. Eles se aproveitam da confiança do usuário e, neste caso, as vítimas eram principalmente blogueiros.

Acho que é por isso que tantos de nós estão tão bravos. Os blogueiros são a alma do #WordPress, você cria conteúdo e na maioria das vezes não tem grandes orçamentos para gastar. Então, quando alguém tira vantagem disso, aqueles que estão no lado "baixo orçamento" do mercado, aqueles que não podem pagar os desenvolvedores ...

— Andy Powell (@p0welly) 31 de março de 2019

Um dos aspectos mais intrigantes dessa história é que muitos dos usuários do Pipdig parecem não se incomodar com a gravidade das descobertas nesses relatórios. Sem pleno conhecimento do funcionamento interno de um produto, muitos clientes tomam decisões com base em como se sentem em relação a uma empresa, independentemente de serem confrontados com fatos que deveriam levá-los a questionar suas experiências.

Eu não estou preocupado. Eu confio neles. E certamente não estou entrando em pânico e agindo de acordo com as palavras de dois posts de blog citando seus concorrentes. Eles me serviram bem por anos.

— Caroline Hirons (@CarolineHirons) 29 de março de 2019

Outros estão indignados por terem seus sites usados ​​em um ataque. Configurar um novo tema não é uma tarefa trivial para usuários não técnicos que podem ter que pagar um desenvolvedor para lançar seus sites em primeiro lugar.

Honestamente? Estou realmente com raiva. Eu confiei neles por anos e, em troca, meu site foi usado maliciosamente contra outras pequenas empresas. Eu tenho observado isso se desenrolar desde sexta-feira, mas até essa atualização me chocou. https://t.co/mPsO8EoHBp

— Charlotte (@bycharlotteann_) 2 de abril de 2019

“Minha mente está absolutamente impressionada com a resposta pública do pipdig”, disse Jem Turner. “Eu entendo que eles estavam contando com a experiência completamente não tecnológica de seus usuários para enganá-los, e certamente parecia estar funcionando no começo, mas qualquer pessoa com um mínimo de conhecimento de codificação pode ver que eles estão mentindo e eu genuinamente não entendo como eles pensam que vão se safar disso.”

A parte louca é que se queremos ser realmente reais sobre isso, é mais como

O cara do cabo fez um grande buraco na minha parede e instalou uma maçaneta nela. Ele pegou uma fita adesiva e rabiscou "ESTA É UMA CAIXA DE CABO" no drywall. Então me olhou nos olhos e disse: "Não, eu não fiz."

— ~$ ./mikey -v (@heyitsmikeyv) 31 de março de 2019

Este incidente destaca o quão desregulado é o ecossistema de plugins e temas comerciais e quão pouca proteção os usuários têm de empresas que abusam de seu poder. Se você é um cliente Pipdig afetado por este incidente, não há garantia de que a empresa não construirá mais backdoors em seu site no futuro. As atualizações do plugin não são revisadas por nenhum tipo de autoridade. Felizmente, existem algumas ações que você pode tomar para criar um ambiente mais seguro para o seu site.

Primeiro, procure por temas e plugins licenciados pela GPL, porque eles garantem mais liberdades como usuário e são compatíveis com a licença legal do WordPress. Os produtos licenciados pela GPL também são uma forte indicação de que os autores respeitam as liberdades do usuário e os princípios econômicos compartilhados que esta licença de código aberto suporta.

Muitas empresas de temas respeitáveis ​​optam por hospedar os plugins complementares de seus produtos no WordPress.org para facilitar a distribuição e envio de atualizações. O diretório oficial não permite esses tipos de práticas de codificação obscuras descritas neste artigo e todos os plugins passam por uma revisão de segurança pela equipe de plugins do WordPress. Se você está preocupado com a qualidade do código e o potencial de abuso, faça uma pequena pesquisa sobre seu próximo provedor de temas comerciais em potencial ou opte por temas e plugins hospedados gratuitamente no WordPress.org que passaram por um processo de verificação mais rigoroso.