Οκταετής μελέτη δείχνει τη σκοτεινή πλευρά των plugins του WordPress

Από το 2012, οι ερευνητές στο Georgia Tech Cyber Forensics Innovation Laboratory (CyFI Lab) έχουν αποκαλύψει 47.337 κακόβουλα plugins σε 24.931 μοναδικούς ιστότοπους WordPress μέσω ενός εργαλείου ανάπτυξης ιστού που ονόμασαν YODA.

Σύμφωνα με ένα νέο paper που κυκλοφόρησε σχετικά με την οκταετή μελέτη, οι ερευνητές διαπίστωσαν ότι κάθε παραβιασμένος ιστότοπος στο σύνολο δεδομένων τους είχε δύο ή περισσότερα μολυσμένα plugin. Τα ευρήματα έδειξαν επίσης ότι το 94% αυτών των plugin εξακολουθούν να έχουν μολυνθεί ενεργά.

«Πρόκειται για έναν ανεξερεύνητο χώρο», είπε η υποψήφια διδάκτορας Ranjita Pai Kasturi η οποία ήταν η επικεφαλής ερευνήτρια του έργου. «Οι εισβολείς δεν προσπαθούν πολύ σκληρά να κρύψουν τα ίχνη τους και συχνά ορθώς υποθέτουν ότι οι ιδιοκτήτες ιστοτόπων δεν θα τα βρουν».

Το YODA δεν είναι μόνο σε θέση να ανιχνεύσει ενεργό κακόβουλο λογισμικό σε plugins, αλλά μπορεί επίσης να εντοπίσει τη πηγή του  κακόβουλου λογισμικού. Αυτό επέτρεψε στους ερευνητές να προσδιορίσουν ότι αυτά τα κακόβουλα plugin είτε πωλήθηκαν στην ανοιχτή αγορά είτε διανεμήθηκαν από πειρατικές τοποθεσίες, εισήχθησαν στον ιστότοπο εκμεταλλευόμενοι μια ευπάθεια ή, στις περισσότερες περιπτώσεις, μολύνθηκαν μετά την προσθήκη κάποιου plugin. Σύμφωνα με το έγγραφο που γράφτηκε από την Kasturi και τους συναδέλφους της, πάνω από 40.000 plugins στο σύνολο δεδομένων τους αποδείχθηκε ότι είχαν μολυνθεί μετά την εγκατάστασή τους. Η ομάδα διαπίστωσε ότι το κακόβουλο λογισμικό θα επιτεθεί σε άλλα plugin στον ιστότοπο για να διαδώσει τη μόλυνση.

"Αυτές οι μολύνσεις ήταν αποτέλεσμα δύο σεναρίων. Το πρώτο είναι μόλυνση πολλαπλών plugins, στην οποία περίπτωση ένας συγκεκριμένος προγραμματιστής plugin δεν μπορεί να κάνει πολλά", είπε η Kasturi . "Ή μολύνθηκε από την εκμετάλλευση των υφιστάμενων τρωτών σημείων plugin. Για να διορθωθεί αυτό, οι προγραμματιστές των plugin μπορούν να πραγματοποιήσουν σάρωση για ευπάθειες προτού κυκλοφορήσουν τις plugins τους για δημόσια χρήση."

Παρόλο που αυτά τα κακόβουλα plugins μπορεί να είναι επιζήμια, η Kasturi προσθέτει ότι δεν είναι πολύ αργά για να σώθει ένας ιστότοπος που έχει ένα παραβιασμένο plugin. Οι webmasters μπορούν να εκκαθαρίσουν τα κακόβουλα plugins εξ ολοκλήρου από τους ιστότοπούς τους και να εγκαταστήσουν ξανά μια καθαρή έκδοση που έχει σαρωθεί για ευπάθειες. Για να δώσει στους προγραμματιστές ιστού ένα πλεονέκτημα σε αυτό το πρόβλημα, το Cyber Forensics Innovation Laboratory έκανε τον κώδικα YODA διαθέσιμο στο GitHub.