• Anasayfa
  • Nesne
  • Kılavuz
  • Raporlar Satıcı Arka Kapılarını, Yerleşik Kill Switch'i ve Kötü Amaçlı DDoS Kodunu Ortaya Çıkardıktan Sonra Pipdig P3 Eklentisini Günceller

Raporlar Satıcı Arka Kapılarını, Yerleşik Kill Switch'i ve Kötü Amaçlı DDoS Kodunu Ortaya Çıkardıktan Sonra Pipdig P3 Eklentisini Günceller

Yayınlanan: 2019-04-03

Hafta sonu, küçük bir ticari tema şirketi olan Pipdig, birden fazla raporun Pipdig Power Pack (P3) eklentisine bir dizi etik olmayan kod eklemesini ifşa etmesinin ardından bir skandalın merkezinde yer aldı.

29 Mart Cuma günü, Wordfence tehdit analisti Mikey Veenstra, Pipdig'in eklentilerinde yerleşik olarak bulunan arka kapı kod örneklerinin yanı sıra koda bazı tatsız ve şüpheli eklemeler içeren bir rapor yayınladı.

Veenstra, "Pipdig Power Pack (veya P3) eklentisinin, bu yetenekleri gizlemek için yanıltıcı değişken adları, işlev adları ve yorumlarla karıştırılmış kod içerdiğini onayladık." Dedi.

Bunlar, "navbar'a eklenecek yeni sosyal kanalları kontrol etmek" için eklendiğini belirten kod yorumlarıyla kasıtlı olarak gizlenmiş, sabit kodlanmış bir dizeye kimliği doğrulanmamış bir parola sıfırlamayı içerir. Veenstra, eklentinin kimliği doğrulanmamış bir veritabanı silme kodunu nasıl içerdiğini de gösterdi; burada Pipdig ekibi, P3 eklentisini kullanarak herhangi bir site WordPress sitesini uzaktan yok edebilir.

Uzaktan site silme kodu 4.8.0 sürümünde kaldırılmıştır, ancak bu, güncelleme yapmamış kullanıcılar için hala bir endişe kaynağıdır. ASOS'ta iOS Mühendisi olan Michael Waterfall, "kill switch" işlevini test etti ve önceki sürümlerle hala çalıştığını gösterdi.

Veenstra'nın araştırması ayrıca, eklentinin cron olaylarındaki şüpheli uzaktan aramaları, açıklanmayan içerik ve yapılandırma yeniden yazmalarını ve P3 etkinleştirildiğinde, kullanıcının bilgisi olmadan hemen devre dışı bırakılan popüler eklentilerin bir listesini de ortaya çıkardı. Bu eklentilerden bazılarının admin_init ile birlikte devre dışı bırakıldığını keşfetti, bu nedenle eklentileri yeniden etkinleştirmeye çalışan herhangi bir kullanıcı yapışmaz.

Wordfence, P3 eklentisinin 10.000-15.000 sitelik bir yükleme tabanına sahip olduğunu tahmin ediyor. Eklentinin 4.8.0 sürümünde yapılan değişiklikler, değişiklik günlüğünde şeffaf bir şekilde tanımlanmadığından, kullanıcıların neyin değiştiğini bilmesi kolay değildir. İçerik filtreleme ve eklenti devre dışı bırakma işlemleri en son sürümde kalır. İzinsiz gerçekleştirilen bu tür örtülü işlevler, eklentiyi kullanan sitelerde, teknik bilgisi olmayan kullanıcıların kendilerinin düzeltemeyeceği istenmeyen sonuçlar doğurabilir.

Pipdig P3 Eklentisi Bir Rakibin Sitesinde DDoS Saldırısı Gerçekleştirdi

İngiltere merkezli serbest çalışan bir web geliştiricisi olan Jem Turner, Wordfence'in analizini yayınladığı gün P3 eklentisinin uzun bir analizini yayınladı. Pipdig'in, aynı zamanda blogculara WordPress temaları ve kurulum hizmetleri sağlayan bir rakibe DDoS saldırısı gerçekleştirmek için P3 eklentisini nasıl kullandığını göstererek, uzak isteklerin detayına indi. Kod, rakiplerin sitesine kötü niyetli istekler göndermek için müşterilerinin sunucularını etkin bir şekilde kullanarak, kullanıcıların sitelerinde saatlik bir cron işini tetikler.

Kod yorumu bize bunun “CDN (içerik dağıtım ağı) önbelleğini kontrol etmek” olduğunu söylüyor. Değil. Bu, dün sabah yanıt gövdesinde 'https://kotrynabassdesign.com/wp-admin/admin-ajax.php' döndüren pipdigz.co.uk üzerinde bulunan bir dosyada (id39dqm3c0_license_h.txt) bir GET isteği gerçekleştiriyor.

Gece ve gündüz her saat başı, herhangi bir manuel müdahale olmaksızın, pipdig eklentisini çalıştıran herhangi bir blogcu, sahte bir Kullanıcı Aracısı ile 'https://kotrynabassdesign.com/wp-admin/admin-ajax.php' adresine rastgele bir istek gönderecektir. sayı dizisi eklenmiştir. Bu, kotrynabassdesign.com'un sunucusunda etkin bir şekilde küçük ölçekli bir DDoS (Dağıtılmış Hizmet Reddi) gerçekleştiriyor.

Turner ayrıca, admin-ajax.php dosyasının bir tür saldırı altında olduğunu tespit ettikten sonra ev sahibiyle iletişime geçtiğini söyleyen Pipdig'in rakibi Kotryna Bass ile temasa geçti. Bass'ın ev sahibiyle olan görüşmeleri de Turner'ın raporunda yayınlandı.

Turner'ın gönderisi, bir kullanıcı içeriğe bir rakibe bağlantı eklediğinde, Pipdig'in P3 eklenti kodunun bağlantıları kendi ürünlerine ve hizmetlerine işaret edecek şekilde nasıl değiştirdiğini açıkladı:

Burada pipdig'in eklentisi, eklenti boyunca toplu bir 'Dosyalarda Bul' yaparken rakiplerden bahsetmeyi zorlaştırmak için dize ikiye bölünmüş ve yeniden birleştirilmiş - birleştirilmiş - 'blogerize.com'dan bahsedenleri arıyor (diğer şeylerin yanı sıra) ). Eklenti, blogger'ın içeriğinde (yazılar, sayfalar) blogerize.com'a bağlantılar bulduğunda, bunlar 'pipdig.co/shop/blogger-to-wordpress-migration/' bağlantısıyla değiştirilir, yani pipdig'in kendi blog taşıma hizmetleri. Bu bağlantıları değiştirmek, SEO avantajını pipdig'e yükseltir ve blog yazarlarının büyük çoğunluğu geçişi fark etmez (özellikle sayfa/yazı düzenlenmişse, blogerleştirme bağlantısı arka uçta normal şekilde görünürdü).

Eklenti, bu eylemlerden herhangi birini gerçekleştirmeden önce kullanıcılardan izin istemedi ve çoğu, gizlenmiş kodla uygulandı. Turner'ın araştırması ayrıca P3 eklentisinin verileri nasıl toplayabileceğini ve yönetici şifrelerini nasıl değiştirebileceğini de kapsıyor. Bulguların çoğu Wordfence'in analiziyle örtüşüyor.

Turner, "Bir yazı yazdıklarının ve tam tersinin farkında olmasam da, bir görüş için Wordfence ile temasa geçildiğini biliyordum" dedi. “WordPress kullanıcıları için risk göz önüne alındığında, bunun hakkında yazmalarına şaşırmadım.”

Pipdig'in etik olmayan kodlama uygulamaları ve gizlilik ihlalleri konusunda yetkililerle temas halindedir.

“Benim açımdan, Action Fraud (web siteleri aracılığıyla bir rapor gönderdi) ve NCSC (beni Action Fraud'a yönlendiren ve aramam için bir numara veren) ile temas halindeyim. Pipdig açısından, blog yazılarında yasal işlem tehdidi var ama henüz hiçbir şey almadım.”

Pipdig'in Kamuoyu Tepki Etekleri Kritik Endişeler

Pipdig Kreatif Direktörü Phil Clothier, son soruşturmaları "pipdig hakkında yayılan çeşitli suçlamalar ve söylentiler" olarak nitelendirerek açılan ve son gelişmelerin şirketi için ne kadar üzücü olduğuna dair duygusal bir savunma içeren şirketten halka açık bir yanıt yayınladı. Takımının ve taraftarlarının taciz edildiğini iddia ediyor.

P3 eklentisinin 4.8.0 sürümünü çıkardıktan ve rahatsız edici kodun tamamını olmasa da bazılarını kaldırdıktan sonra Clothier, gönderisi için her soruyu şimdiki zamana koyarak bir Soru-Cevap stili formatı seçer:

DDOS rakipleriniz var mı?
Numara.

Siteleri “öldürüyor musunuz”?
Numara!

Pipdig Güç Paketi aracılığıyla siteleri öldürme olanağınız var mı?
Numara

Clothier, WordPress önekine sahip tüm tabloları algılayan ve her birini düşüren yerleşik "kill switch" özelliğiyle ilgili olarak, bunun bir siteyi varsayılan ayarlarına döndürmek için bir işlev olduğunu söyledi. Ne yaptığını kasten yanlış sundu:

Eklentinin eski bir sürümünde, bir siteyi varsayılan ayarlara sıfırlamak için kullanılabilecek bir işlev vardı. Bu işlevin kötü niyetli veya kasıtsız kullanım riski yoktu. Kategorik olarak pipdig teması kullanıyorsanız siteniz için herhangi bir risk olmadığını söyleyebilirim. Bu özellik, üzerimizde maksimum olumsuz etki için kazıldı ve “Kill Switch” olarak etiketlendi.

Clothier, üçüncü bir tarafın kendi sitelerinde satılık Pipdig temaları yayınlamaya başladığı Temmuz 2018'de işlevin P3 eklentisinde mevcut olduğunu iddia ediyor:

Bir 3. taraf, tüm temalarımızı yasa dışı bir şekilde indirebildi ve bunları kendi sitemizin bir klonuna yükledi. Bu, temalarımızın önizlemelerini ve bunları satın alma olanağını içeriyordu. Bu konuda ilk önce oradan bir pipdig teması satın alan, ancak bazı özelliklerin doğru çalışmadığını tespit eden kişiler tarafından uyarıldık. İncelemeden sonra, mağdurun temayı biz olduğumuzu düşünerek 3. şahıstan satın aldığını tespit ettik. Üçüncü taraf, yalnızca tema ödemesinin finansal avantajını elde etmekle kalmadı, aynı zamanda kurbanın sitesine kötü amaçlı yazılım ve reklamlar enjekte etmenin bir yolu olarak da kullandı. 3. tarafların temalarımızla önizleme sitelerini barındırma yeteneğini kaldırmak için sıfırlama işlevi devreye alındı. İşe yaradı ve o zamandan beri ortadan kayboldular. İşlev daha sonra eklentinin sonraki bir sürümünde kaldırıldı.

Bu, Wordfence'in güncellenmiş bir makalede belirttiği gibi yanlış bir iddiadır. Veritabanının silinmesinden sorumlu kodun ilk örneği, Kasım 2017'de eklentiye taahhüt edildi.

Şirket, bir kamu açıklaması yayınlarken ilk geçişinde Wordfence analizinde sunulan en kritik endişeleri ele alamadı. Bunun yerine, rakiplere yönelik bir DDoS saldırısını koordine etme konusunda Pipdig kullanıcıları suçluyor ve rakiplerinin URL'sini sitelerine eklemiş olabileceklerini öne sürüyor.

Clothier, "Şimdi bu işlevin neden bu url'yi döndürdüğünü araştırıyoruz" dedi. “Ancak, bazı 'Yazar URL'lerinin' 'kotrynabassdesign.com' olarak ayarlandığı anlaşılıyor. Şu anda neden böyle olduğunu veya site sahibinin bunu kasıtlı olarak değiştirip değiştirmediğini bilmiyoruz.”

Wordfence tarafından bugün yayınlanan daha fazla araştırma, Pipdig'in Blogger şablonlarına DDoS kodunu da eklediğini ve düne kadar aktif olarak kötü niyetli istekler yayınladığını gösterdi:

Pipdig'in WordPress eklentisi ve temalarının araştırılması sırasında, Blogger temalarıyla ilişkili bazı ilginç kodlarla da karşılaştık. Bu kod, Pipdig'in rakiplerine karşı şüpheli DDoS kampanyasının bir parçasıdır ve Pipdig'in bu tür davranışları reddetmesinden dört gün sonra 1 Nisan'a kadar etkindi.

Pipdig'in Blogger temalarından bazılarının, Pipdig'in sunucusuna, özellikle de hXXps://pipdigz[.]co[.]uk/js/zeplin1.js komut dosyasına harici JavaScript çağrıları yaptığı onaylandı.

31 Mart'ta, soruşturmalar kamuoyuna açıklandığında, Pipdig halka açık Bitbucket deposunu sildi ve üç yıllık taahhüt geçmişini kaldırarak "temiz bir depo" ile değiştirdi. Wordfence ve diğerleri, depoyu silinmeden önce klonladı ve soruşturmada alıntı yapmak için sayfaların anlık görüntülerini kaydetti.

Pipdig'in kamuya açık açıklaması, Wordfence'in kod örnekleriyle devam eden bölümünde özetlenen bir dizi başka yanlış iddia içeriyor. Clothier, muhtemelen müşterileri diğer kaynaklardan okuduklarına güvenmemeye teşvik etmek için basına iftira atarak makaleyi kapatıyor.

Son olaylarla ilgili yorumları için Pipdig ile iletişime geçtim, ancak Clothier sorularıma cevap vermeyi reddetti. Bunlardan biri, eklentinin müşterileri bilgilendirmeden Bluehost'un önbelleğe alma eklentisini devre dışı bırakmasının nedeniydi.

Clothier, kamuoyuna yaptığı açıklamada söylediklerinin ötesinde herhangi bir yorumu olmadığını, ancak ilgilenen herkesi koda 4.9.0 sürümünde eklenen yeni yorumları okumaya teşvik ettiğini söyledi:

Ayrıca eklentinin 4.9.0 sürümünü de güncelledik ve koda fazladan yorum eklemeyi de ekledik, bu da Bluehost önbelleğe alma ve the_content() filtresiyle ilgili sorunların çözülmesine yardımcı olacaktır.

Emin değilseniz, her zaman olduğu gibi en son sürüme güncellemenizi öneririz. Bununla birlikte, önceki sürümlerde de ciddi bir sorun olmadığını iddia ediyoruz.

Pipdig, lisanslamayla ilgili soruları yanıtlamayı reddetti ancak ürünler GPL lisanslı görünmüyor. Bu nedenle şirket, temalarını “çaldığını” düşündükleri kişiler hakkında işlem yapmayı kendi hakları dahilinde görmüş olabilir.

Pipdig Müşterileri, Satıcı Arka Kapıları ve DDoS Saldırıları Raporlarına Karmaşık Tepkiler Paylaşıyor

WordPress tarihinde bir tema şirketinde gördüğüm en küstah suistimallerden biri olan Pipdig'in kullanıcı tabanı, bilmeden şirketin rakiplerini hedef almak için kullanıldı. Şirketin temalarının izinsiz dağıtımıyla mücadele etme amacı ne olursa olsun, bu tür arka kapılar ve açıklanmayan içerik yeniden yazmaları savunulamaz. Kullanıcı güvenini beslerler ve bu durumda kurbanlar öncelikle blog yazarlarıdır.

Bu hikayenin daha şaşırtıcı yönlerinden biri, Pipdig'in kullanıcılarının çoğunun bu raporlardaki bulguların ciddiyetinden etkilenmemiş görünmesidir. Bir ürünün iç işleyişine dair tam bilgi sahibi olmadan, birçok müşteri, deneyimlerini sorgulamalarına neden olacak gerçeklerle karşı karşıya kalsalar da, bir şirket hakkında nasıl hissettiklerine göre kararlar alır.

Diğerleri, sitelerinin bir saldırıda kullanılmasına kızgın. Yeni bir tema kurmak, ilk etapta sitelerini başlatmak için bir geliştiriciye ödeme yapmak zorunda kalmış olabilecek, teknik bilgisi olmayan kullanıcılar için basit bir iş değildir.

Jem Turner, "Pipdig'in kamuoyundaki tepkisi beni kesinlikle şaşırttı," dedi. “Kullanıcılarının kendilerini kandırmak için tamamen teknoloji dışı geçmişlerine güvendiklerini anlıyorum ve başlangıçta kesinlikle işe yarıyor gibi görünüyordu, ancak en ufak bir kodlama bilgisi olan herkes yalan söylediklerini görebilir ve ben gerçekten Bununla nasıl kurtulacaklarını düşündüklerini anlamıyorum.”

Bu olay, ticari eklenti ve tema ekosisteminin ne kadar düzensiz olduğuna ve kullanıcıların güçlerini kötüye kullanan şirketlerden ne kadar az korumaya sahip olduklarına ışık tutuyor. Bu olaydan etkilenen bir Pipdig müşterisiyseniz, şirketin gelecekte sitenize daha fazla arka kapı inşa etmeyeceğinin garantisi yoktur. Eklenti güncellemeleri herhangi bir otorite tarafından incelenmez. Neyse ki, web siteniz için daha güvenli bir ortam yaratmak için yapabileceğiniz birkaç işlem var.

İlk olarak, kullanıcı olarak size daha fazla özgürlük sağladıkları ve WordPress'in yasal lisansıyla uyumlu oldukları için GPL lisanslı temaları ve eklentileri arayın. GPL lisanslı ürünler aynı zamanda yazarların kullanıcı özgürlüklerine ve bu açık kaynak lisansının desteklediği ortak ekonomik ilkelere saygı duyduğunun güçlü bir göstergesidir.

Birçok saygın tema şirketi, dağıtım ve güncelleme güncellemelerini kolaylaştırmak için ürünlerinin tamamlayıcı eklentilerini WordPress.org'da barındırmayı tercih ediyor. Resmi dizin, bu makalede açıklanan bu tür gölgeli kodlama uygulamalarına izin vermez ve tüm eklentiler, WordPress Eklenti Ekibi tarafından bir güvenlik incelemesinden geçer. Kod kalitesi ve kötüye kullanım potansiyeli konusunda endişeleriniz varsa, bir sonraki olası ticari tema sağlayıcınız hakkında biraz araştırma yapın veya daha sıkı bir inceleme sürecinden geçen WordPress.org tarafından barındırılan ücretsiz temaları ve eklentileri seçin.