I ricercatori di sicurezza hanno scoperto una backdoor in un plugin WordPress premium progettato come soluzione di gestione completa per le scuole. Il codice dannoso consente a un autore di minacce di eseguire codice PHP senza autenticarsi.
Il nome del plugin è “School Management”, pubblicato da Weblizar, e diverse versioni precedenti alla 9.9.7 venivano fornite con la backdoor inserita nel codice.
Sebbene l'ultima versione sia pulita, lo sviluppatore non è riuscito a determinare l'origine della compromissione.
Il plug-in consente alle scuole di gestire lezioni dal vivo, inviare notifiche via e-mail o SMS, tenere tabelloni delle presenze e gestire bacheche, accettare pagamenti ed emettere fatture, gestire esami, impostare biblioteche di prestito online e persino gestire flotte di veicoli da trasporto.
Si tratta di una soluzione completa fornita con un'app Android e iOS per fornire vari livelli di accesso a utenti come amministratori, insegnanti, contabili, studenti, genitori, bibliotecari e addetti alla reception.
Backdoor PHP
Jetpack ha iniziato a dare un'occhiata a “Gestione scolastica” (sito non sicuro al momento della stesura di questo articolo) dopo che il team di supporto di WordPress.com ha segnalato di aver trovato codice dannoso in diversi siti che utilizzavano il plug-in.
Osservando il codice leggermente offuscato, Jetpack trovato una backdoor inserita nel codice di controllo della licenza del plugin, che consente a qualsiasi utente malintenzionato di eseguire codice PHP.
La backdoor può consentire a un utente malintenzionato di accedere o alterare i contenuti del sito Web, elevare i privilegi e assumere il controllo completo del sito.
Questo è un problema di sicurezza critico attualmente monitorato come CVE-2022-1609e ha ricevuto il punteggio di gravità massimo pari a 10 su 10.
Poiché la backdoor viene inserita nella parte di controllo della licenza del plugin, anche la versione gratuita che non ne ha una non contiene la backdoor, quindi non è influenzata.
Scoperta e fissazione
Jetpack presupponeva che la presenza della backdoor fosse il caso di un plug-in annullato, un plug-in premium che è stato violato o modificato (piratato), distribuito tramite siti Web di terze parti, che spesso funziona senza licenza
Tuttavia, dopo aver discusso con i proprietari del sito, gli analisti hanno appreso che il plug-in proveniva direttamente dal fornitore, quindi la backdoor era “pronta all’uso”.
I ricercatori hanno contattato il fornitore il 4 maggio 2022 e la presenza del codice inserito è stata confermata sull'ultima versione dell'epoca, la 9.9.6. Successive indagini hanno dimostrato che la backdoor era presente almeno dalla versione 8.9.
Il giorno successivo lo sviluppatore ha rilasciato la versione 9.9.7, in cui è stata rimossa la backdoor. Il fornitore ha distribuito gli aggiornamenti di sicurezza a tutti i clienti premium con l'avviso di applicarli immediatamente.
Non sono stati resi noti ulteriori dettagli su come o esattamente quando è stata iniettata la backdoor e il venditore ha dichiarato di non riuscire a capire come sia avvenuta l'iniezione.
Bleeping Computer ha contattato il fornitore del software per trovare maggiori dettagli su questo fronte, ma non abbiamo ancora ricevuto risposta.
Aggiornamento del 28 maggio 2022: Un portavoce di Weblizar ha contattato Bleeping Computer sostenendo che i risultati di Jetpack sono falsi e che la backdoor non si trovava nel plugin fornito da loro, ma in una versione annullata/piratata.