Δεκάδες πρόσθετα WordPress αποσύρθηκαν αιφνιδίως, μετά τον εντοπισμό backdoor που διοχέτευε κακόβουλο κώδικα σε χιλιάδες ιστοσελίδες. Η υπόθεση αναδεικνύει τον αυξανόμενο κίνδυνο επιθέσεων μέσω εξαγορών λογισμικού.
Σημαντικό περιστατικό κυβερνοασφάλειας πλήττει το οικοσύστημα του WordPress, καθώς δεκάδες πρόσθετα (plug-ins) αφαιρέθηκαν από τον επίσημο κατάλογο, όταν εντοπίστηκε backdoor στον κώδικά τους, μέσω του οποίου διοχετευόταν κακόβουλο λογισμικό σε χιλιάδες ιστοσελίδες που τα χρησιμοποιούσαν. Το backdoor φέρεται να προστέθηκε μετά την εξαγορά της εταιρείας ανάπτυξης Essential Plugin από νέο εταιρικό ιδιοκτήτη.
Πώς στήθηκε η επίθεση στα πρόσθετα
Τον συναγερμό σήμανε ο Austin Ginder, ιδρυτής της Anchor Hosting, ο οποίος σε ανάρτησή του περιέγραψε μια κλασική πλέον επίθεση στην εφοδιαστική αλυσίδα λογισμικού: κάποιος αγόρασε την Essential Plugin και, στη συνέχεια, ενσωμάτωσε backdoor στον πηγαίο κώδικα περίπου 30 πρόσθετων. Το κακόβουλο αυτό στοιχείο παρέμεινε ανενεργό για μήνες και ενεργοποιήθηκε μόλις στις αρχές Απριλίου, ξεκινώντας τη διανομή κακόβουλου κώδικα σε κάθε ιστοσελίδα όπου ήταν εγκατεστημένα τα πρόσθετα.
Σύμφωνα με τα στοιχεία που δημοσιεύει η ίδια η Essential Plugin, η εταιρεία αναφέρει πάνω από 400.000 εγκαταστάσεις πρόσθετων και περισσότερους από 15.000 πελάτες, ενώ η σελίδα εγκατάστασης συγκεκριμένων πρόσθετων στο WordPress κάνει λόγο για πάνω από 20.000 ενεργές εγκαταστάσεις. Αν και οι αριθμοί δεν ταυτίζονται πλήρως, καταδεικνύουν το εύρος της δυνητικής έκθεσης.
Τα πρόσθετα αποτελούν κρίσιμο κομμάτι της λειτουργικότητας του WordPress, καθώς επιτρέπουν σε διαχειριστές ιστοσελίδων να προσθέτουν δυνατότητες χωρίς προγραμματισμό. Ωστόσο, αποκτούν ευρεία πρόσβαση στην εγκατάσταση, γεγονός που μετατρέπει κάθε κακόβουλη ή παραβιασμένη επέκταση σε πιθανό όχημα πλήρους συμβιβασμού της ιστοσελίδας.
Κίνδυνοι από αλλαγή ιδιοκτησίας και τι πρέπει να κάνουν οι διαχειριστές
Ο Ginder επισημαίνει ένα κρίσιμο θεσμικό κενό: οι χρήστες του WordPress δεν ενημερώνονται όταν αλλάζει ο ιδιοκτήτης ενός πρόσθετου. Αυτό σημαίνει ότι ένας απολύτως αξιόπιστος δημιουργός μπορεί να πουλήσει το προϊόν του, και ο νέος ιδιοκτήτης να εισαγάγει σιωπηρά κακόβουλο κώδικα, αξιοποιώντας την ήδη υπάρχουσα βάση εγκαταστάσεων. Πρόκειται για δεύτερο περιστατικό «απαγωγής» πρόσθετου που, σύμφωνα με τον ίδιο, εντοπίζεται μέσα σε διάστημα μόλις δύο εβδομάδων.
Η τακτική αυτή δεν περιορίζεται στο WordPress. Ερευνητές ασφαλείας προειδοποιούν εδώ και χρόνια για τον κίνδυνο εξαγοράς λογισμικού ή επεκτάσεων (π.χ. browser extensions) από κακόβουλους παράγοντες, οι οποίοι στη συνέχεια τροποποιούν τον κώδικα για να αποκτήσουν μαζική πρόσβαση σε υπολογιστές και δεδομένα ανά τον κόσμο.
Τα επίμαχα πρόσθετα έχουν πλέον αφαιρεθεί από τον επίσημο κατάλογο του WordPress και εμφανίζονται ως «μόνιμα κλειστά». Ωστόσο, αυτό δεν αρκεί: οι ιστοσελίδες που τα είχαν ήδη εγκατεστημένα συνεχίζουν να διατρέχουν κίνδυνο, εφόσον δεν τα απεγκαταστήσουν χειροκίνητα. Ο Ginder έχει δημοσιεύσει αναλυτική λίστα των επηρεαζόμενων πρόσθετων, καλώντας τους διαχειριστές να ελέγξουν άμεσα τις εγκαταστάσεις τους.
Η Essential Plugin, σύμφωνα με το ρεπορτάζ, δεν έχει απαντήσει σε αιτήματα για σχόλιο, γεγονός που αφήνει αναπάντητα κρίσιμα ερωτήματα για το πώς πραγματοποιήθηκε η εξαγορά, ποιος είναι ο νέος ιδιοκτήτης και ποια μέτρα, αν υπάρχουν, έχουν ληφθεί για την προστασία των χρηστών.
Επιπτώσεις για επιχειρήσεις και ανάγκη νέων κανόνων
Για επιχειρήσεις, μέσα ενημέρωσης και e-shops που βασίζονται στο WordPress –συμπεριλαμβανομένων πολλών ελληνικών– το περιστατικό υπογραμμίζει την ανάγκη συστηματικής διαχείρισης κινδύνου: περιορισμός του αριθμού πρόσθετων, προτίμηση σε έργα με ενεργές και διαφανείς κοινότητες ανάπτυξης, τακτικοί έλεγχοι ασφαλείας και άμεση ενημέρωση όταν προκύπτουν περιστατικά.
Σε επίπεδο οικοσυστήματος, η υπόθεση ανοίγει τη συζήτηση για νέους μηχανισμούς διαφάνειας σε open source πλατφόρμες: ενημέρωση χρηστών για αλλαγές ιδιοκτησίας, αυστηρότερες διαδικασίες ελέγχου πριν από ενημερώσεις κώδικα και ίσως προαιρετικά «σήματα εμπιστοσύνης» για πρόσθετα που πληρούν αυξημένα κριτήρια ασφάλειας.
Σχόλιο 
: Το περιστατικό στα πρόσθετα WordPress δείχνει ότι η επόμενη μεγάλη «τρύπα» στην κυβερνοασφάλεια δεν είναι τα zero-days αλλά οι εξαγορές λογισμικού χωρίς ουσιαστικό έλεγχο. Όσο οι επιχειρήσεις βασίζουν κρίσιμες λειτουργίες σε τρίτα plug-ins, χωρίς πολιτική due diligence και monitoring, η εφοδιαστική αλυσίδα του λογισμικού θα παραμένει το πιο αδύναμο –και πιο επικερδές για τους επιτιθέμενους– σημείο.
#WordPress #κυβερνοασφάλεια #cyberattack #plugins
