Pesquisadores de segurança descobriram um backdoor em um plugin WordPress premium projetado como uma solução completa de gerenciamento para escolas. O código malicioso permite que um ator de ameaças execute o código PHP sem autenticar.
O nome do plugin é “School Management“, publicado pela Weblizar, e várias versões antes do 9.9.7 foram entregues com o backdoor assado em seu código.
Embora a versão mais recente esteja limpa, o desenvolvedor não conseguiu determinar a origem do infecção.
O plugin permite que as escolas gerenciem aulas ao vivo, enviem notificações por e-mail ou SMS, mantenham as placas de atendimento e gerenciem quadros de avisos, aceitem pagamentos e emitam notas fiscais, gerenciem exames, configurem bibliotecas de empréstimos on-line e até gerenciem frotas de veículos de transporte.
É uma solução completa que vem com um aplicativo para Android e iOS para fornecer vários níveis de acesso aos usuários, como administradores, professores, contadores, alunos, pais, bibliotecários e recepcionistas.
Backdoor PHP
O Jetpack começou a dar uma olhada na de Gestão Escolar (Eschool Management) depois que a equipe de suporte WordPress.com relatou ter encontrado código malicioso em vários sites usando o plugin.
Ao olhar para o código levemente ofuscado, o Jetpack encontrou um backdoor injetado no código de verificação de licença do plugin, que permite que qualquer invasor execute o código PHP.
O backdoor pode permitir que um invasor acesse ou altere o conteúdo do site, eleve privilégios e assuma o controle completo do site.
Este é um problema crítico de segurança que atualmente é rastreado como CVE-2022-1609, e recebeu a pontuação máxima de gravidade de 10 de 10.
Como o backdoor é injetado na parte de verificação da licença do plugin, a versão gratuita que não tem uma também não contém o backdoor, então não é impactado.
A falha e solução da infecção
Jetpack assumiu que a presença do backdoor era um caso de um plugin nulo (nulled) – que é um plugin premium que foi hackeado ou modificado (pirateado), distribuído através de sites de terceiros, que muitas vezes funcionam sem licença
No entanto, depois de discutir com os proprietários do site, os analistas descobriram que o plugin era originado diretamente do fornecedor, então o backdoor saiu “da caixa”.
Os pesquisadores entraram em contato com o fornecedor em 4 de maio de 2022, e a presença do código injetado foi confirmada na versão mais recente na época, 9.9.6. Investigações posteriores mostraram que o backdoor estava presente desde pelo menos a versão 8.9.
O desenvolvedor lançou a versão 9.9.7 no dia seguinte, que tem o backdoor removido. O fornecedor distribuiu as atualizações de segurança para todos os clientes premium com um aviso para aplicá-las imediatamente.
Sem mais detalhes sobre como ou exatamente quando o backdoor foi injetado se tornou conhecido, e o fornecedor afirmou que eles não conseguiam descobrir como a injeção aconteceu.
Lembramos que sempre é muito importante manter seus plugins atualizados de seus sites wordpress.
Fonte: Texto criado com auxilio do original bleepingcomputer.
