В связи с последними событиями хочется сделать предупреждение сисадминам и разработчикам. Некоторые авторы популярных модулей решений Open Source начали вредительскую деятельность. Отключите автообновление плагинов. Без нужды не устанавливайте обновления.
Сейчас производится массовый взлом сайтов на популярном движке WordPress. Через уязвимость в популярном плагине Mistape злоумышленник получает доступ к разделам администратора, заливает плагин UnderConstruction, с помощью которого на главную страницу сайта выводит произвольную информацию. Обычно это виджет на тему текущих событий в Украине. Автор плагина 24 февраля внёс в него изменения. Дождался, пока обновление разойдётся по пользователям и начал через несколько дней эксплуатировать занесённую туда уязвимость. А потом через эту уязвимость кто-нибудь ещё сможет сделать с вашим сайтом что угодно. Отключите или удалите этот плагин.
Ещё пример. Есть известный open source проект Tasmota — это альтернативная прошивка для устройств на базе микроконтроллеров ESP8266 и ESP32, которые можно программировать с помощью Arduino IDE и PlatformIO. Недавним коммитом автора в Tasmota внесен новый ino файл, который проверяет координаты микроконтроллера, если он соответствует Москве или Минску, то в логи пишется текст "Stop war, Free Ukrain".
В данном случае коммит, конечно, безобидный. Но вы сами понимаете возможные последствия от такого рода деятельности авторов популярных Open Source решений. Особенно если ваше устройство или софт работает на важном объекте. Да и свои домашние, семейные или личные данные не очень приятно потерять.
Следует серьёзнее отнестись к безопасности информации и к использованию Open Source решений. Не все обновления одинаково полезны.
Источник: serveradmin.ru.
P.S.
Пишу сейчас статью на ещё одном популярном движке — Drupal. И думаю, как дальше его использовать? Ведь и у меня есть куча модулей, в которые авторы могут закоммитить всё что им заблагорассудится.
И вот нахожу подтверждение:
Компания "Глянец" встраивает на сайты клиентов вредоносный код для обхода защиты. Они называют это "сервисным входом". Сегодня Заика Анатолий (руководитель "Глянец") публично заявил, что российские сайты, созданные в его компании, будут "взломаны".
Получается, они изначально встраивали бэкдор на все разрабатываемые сайты.
Ну и добавка
- VDZ Yandex Metrika и прочие плагины от VDZ