Recientemente, fue encontrada una puerta trasera en un plugin para WordPress, utilizado en portales de escuelas.
Se trata de la versión School Management, un centro de control para portales de escuelas, cuya versión 8.9 contenía una brecha de seguridad que permitía a los atacantes tomar el control absoluto de los sitios que utilizan este complemento.
Detectan puerta trasera en plugin de pago para escuelas
El reporte de esta vulnerabilidad fue notificado por investigadores del servicio de seguridad de sitios web Jetpack, a través de una publicación en su blog. De acuerdo con los antecedentes compartidos, aunque el hallazgo se vincula a la versión 8.9 del plugin, que data desde agosto de 2021, no se descarta que la puerta trasera haya estado presente desde versiones anteriores.
En entornos de programación, se denomina “código ofuscado” a los códigos fuente creados con el fin de ser complejos, para dificultar su análisis por parte de otros desarrolladores o encargados de seguridad. Fue justamente esto lo que el equipo de Jetpack encontró, tras recibir reportes desde varios sitios que, como elemento en común, usaban School Management Pro.
Tras desofuscar el código en cuestión, los investigadores se dieron cuenta de que ahí fue escondido, de manera intencional, un fragmento de código que permite a los extraños tomar el control de los sitios afectados.
“El código en sí no es tan interesante: es una puerta trasera obvia inyectada en el código de verificación de licencia del complemento”, señala la publicación de Jetpack. “Permite que cualquier atacante ejecute código PHP arbitrario en el sitio con el complemento instalado”. Dada la localización de esta vulnerabilidad, no afectó a la versión gratuita del plugin.
Esta no es una intervención muy sofisticada o novedosa. De hecho, es algo bastante común en aquellos sitios que utilizan temas o plugins piratas. Sin embargo, sus implicancias son graves, pues cualquier persona con el conocimiento pertinente, podría ejecutar cualquier código desde algún sitio con esta puerta trasera abierta.
Desde Jetpack señalaron que han tratado de obtener más detalles sobre este caso desde el mismo proveedor del plugin, Weblizar. Aunque trataron de indagar sobre cuándo se inyectó la mencionada puerta trasera, qué versiones se ven afectadas y cómo terminó el código en el complemento en primer lugar, fueron intentos infructuosos, pues el proveedor asegura que no sabe cuándo ni cómo ingresó el código en su software.
Ante la falta de una mejor comunicación entre Jetpack y Weblizar, no se ha conseguido rastrear el origen de esta vulnerabilidad. Sin embargo, la eliminación de este código ya está asegurada desde la versión 9.9.7, por lo que se recomienda actualizar cualquier edición anterior.
Aunque ya fue limpiado el código de este plugin, hay un daño irreversible ya ejecutado. Cualquier sitio web que tenga el plugin instalado, pudo verse afectado. Aún tras la eliminación de la puerta trasera, se recomienda realizar un análisis exhaustivo de seguridad en el sitio, para detectar si se encuentra comprometido de alguna otra forma.