Custom Content Type Manager: WordPress-Plugin stiehlt Admin-Login
Alexander Trust, den 6. März 2016IT-Sicherheitsspezialisten von Sucuri haben herausgefunden, dass das WordPress-Plugin Custom Content Type Manager (CCTM) eine Hintertür hat und den Admin-Login stiehlt.
Es wird dringend abgeraten, das Update von Custom Content Type Manager 0.9.8.8 herunterzuladen. Der IT-Sicherheitsdienstleister Sucuri hat in der Datei „auto-update.php“ eine Hintertür gefunden, die offenbar den Admin-Login an einen Hacker sendet. Darüber hinaus gibt es die Datei „CCTM_Communicator.php“, die den Server des Hackers informiert, dass das Update ausgeführt wurde und die WordPress-Installation infiziert wurde.
Plugin-Update nach längerer Pause
Nach längerer Pause (10 Monate) erhielt das Plugin bereits am 17. Februar ein Update auf Version 0.9.8.8. Dafür verantwortlich war der Entwickler „wooranker“.
Nutzer waren ebenfalls Ungereimtheiten aufgefallen, die sie im WordPress-Forum artikulierten. Später dann veröffentlichte Sucuri eine umfassende Analyse der Sicherheitslücke.
Neben den eingangs erwähnten Dateien wurde vermeintlich eine eigene Version von jQuery geladen. Dabei handelte es sich jedoch um einen Trackercode, der dem Hacker mitteilen konnte, wie viele Besucher die infizierte Seite besucht hatten.
Hacker aus Indien?
Über die Auswertung der Kommunikation lässt sich rausfinden, dass hinter den Änderungen des Plugins vermeintlich der Freelance-Entwickler Vishnudath Mangilipudi aus Andhra Pradesh in Indien stecken soll. Zumindest kann man Hinweise auf ihn als Domain-Registrar derjenigen Server finden, mit denen das Plugin kommuniziert hat.
Ein Profil auf einer Freelancing-Plattform DesignCrowd führt ihn mit dem Spitznamen wooranker. Übrige geblieben ist lediglich eine Angebotsbeschreibung, auf der man ablesen kann, dass wooranker Grafik-Designer aus Indien sei.
Plugin wieder mit altem Autor
Der alte Plugin-Autor „fireproofsocks“ hat offenbar die Probleme behoben und mittlerweile Version 0.9.8.9 von Custom Content Type Manager veröffentlicht. Diese Version sollte nicht mehr von „wooranker“ gehackt worden sein.
Vor dem Hack hatte das WordPress-Plugin Custom Content Type Manager über 10.000 aktive Installationen, mittlerweile sind es nur noch 9.000.
DesignCrowd distanziert sich
DesignCrowd möchte nicht, dass die eigene Plattform mit jemandem in Verbindung gebracht wird, der im Verdacht steht, ein WordPress-Plugin manipuliert zu haben. Deshalb ist man an uns herangetreten, mit der Bitte, den Link zu dem Freelance-Design-Portal zu löschen. Man habe den Account bereits deaktiviert.
Wir haben deshalb den Link ersetzt mit einem validen Link zu Archive.org, wo es glücklicherweise eine Kopie mit dem Hinweis auf das Profil gibt. Auf der Einzelseite wird bestätigt, dass der vermeintliche Hacker des Plugins „vorher“ zumindest 440 US-Dollar über DesignCrowd auf ehrliche Weise verdient haben soll.