백도어가 포함 된 Display Widgets 플러그인, 20만개의 워드프레스 사이트들에 스팸 노출 가능해

Backdoored Display Widgets Plugin potentially affects 200,000 WordPress installs abusing them to spam content

Display Widgets 플러그인이 백도어가 포함된 채 업데이트 되어, 이를 사용하는 20만개의 워드프레스 웹사이트들이 위험에 처했습니다.

연구원들은 “Display Widgets 플러그인을 워드프레스 웹사이트에 사용 중이라면, 즉시 제거하기 바랍니다. 해당 플러그인의 최근 업데이트 3건에 제작자가 당신의 웹사이트에 어떤 컨텐츠건 게시할 수 있도록 허용하는 백도어가 포함 되어 있습니다.”

“이 플러그인의 제작자는 이 백도어를 이용해 그들의 플러그인을 사용하는 사이트들에 스팸 컨텐츠들을 게시해왔습니다. 지난 3개월동안, 해당 플러그인은 WordPress.org 플로그인 저장소에서 4회 정도 제거된 후 재등록 되었습니다. 이 플러그인은 약 20만개의 워드프레스 웹사이트에서 사용중인 것으로 나타났습니다.”고 밝혔습니다.

플러그인 이름은 Display Widgets이며, 제작자는 이를 지난 5월 19일 써드파티 개발자에게 15,000달러에 판매했습니다.

판매 후 1개월 만에, 새로운 개발자는 이 플러그인을 처음으로 업데이트 하며 이상한 행동을 보였습니다. 이 플러그인은 플러그인 저장소에서 여러 번 제거된 후 9월달부터 여러 번 업데이트 되었습니다.

6월 21일 공개 된 Display Widgets 플러그인 버전 2.6.0은 38MB의 코드(Maxmind IP 위치 정보 데이터베이스)를 외부 서버로부터 다운로드하는 것이 발각되어 2일만에 저장소에서 삭제 되었습니다.

며칠 후인 6월 30일 공개 된 버전 2.6.1은 geolocation.php라는 악성 파일을 포함하며 플러그인을 사용하는 웹사이트에 새로운 컨텐츠를 올릴 수 있는 기능이 포함 되었습니다. 또한 페이지의 코드는 제작자가 사이트 관리자들에게 아무런 알림 없이 컨텐츠를 업데이트하고 제거할 수 있도록 허용했습니다. 

이는 워드프레스 저장소에서 7월 1일 제거 되었습니다.

하지만 제작자는 추가 버전을 계속 공개했습니다.

Display Widgets의 2.6.2 버전은 1주일 후 공개 되었으며, 악성 코드도 업데이트 되었으나 7월 24일 다시 저장소에서 제거 되었습니다. 이후 9월 2일 버전 2.6.3을 공개했으며, 버그를 수정하기 위해 악성 코드가 업데이트 되었습니다. 이후 저장소에서 9월 8일 제거 되었습니다.

전문가들은 해당 플러그인의 버전 2.6.1 ~ 2.6.3을 사용하는 워드프레스 사이트들은 악성코드의 영향을 받아 스팸 컨텐츠를 표시할 수 있다고 밝혔습니다.

출처 :

http://securityaffairs.co/wordpress/63029/hacking/display-widgets- plugin-backdoot.html