Gli aggressori utilizzano Eval PHP, un plugin WordPress legittimo e obsoleto, per compromettere i siti Web inserendo backdoor furtive.
Eval PHP è un vecchio plugin di WordPress che consente agli amministratori dei siti di incorporare codice PHP su pagine e post di siti WordPress e quindi di eseguire il codice quando la pagina viene aperta nel browser.
Il plugin non è stato aggiornato negli ultimi dieci anni ed è generalmente considerato abbandonato, ma è ancora disponibile tramite il repository dei plugin di WordPress.
Secondo la società di sicurezza del sito web Succhila tendenza a utilizzare Eval PHP per incorporare codice dannoso su pagine WordPress apparentemente innocue è aumentata nell’aprile 2023, con il plug-in WordPress che ora conta una media di 4.000 installazioni dannose al giorno.
Il vantaggio principale di questo metodo rispetto alle tradizionali iniezioni di backdoor è che Eval PHP può essere riutilizzato per reinfettare i siti ripuliti mantenendo il punto di compromissione relativamente nascosto.
Iniezioni furtive di database
Le iniezioni di codice PHP rilevate nelle ultime due settimane forniscono un payload precedentemente documentato che fornisce agli aggressori funzionalità di esecuzione di codice in remoto sul sito compromesso.
Il codice dannoso viene inserito nei database dei siti Web presi di mira, in particolare nella tabella “wp_posts”. Ciò rende più difficile il rilevamento poiché elude le misure di sicurezza standard dei siti Web come il monitoraggio dell’integrità dei file, le scansioni lato server, ecc.
Per fare ciò, gli autori delle minacce utilizzano un account amministratore compromesso o appena creato per installare Eval PHP, consentendo loro di inserire codice PHP nelle pagine e nei post del sito violato utilizzando [evalphp] codici brevi.
Una volta eseguito, il codice rilascia la backdoor (3e9c0ca6bbe9.php) nella root del sito. Il nome della backdoor può differire a seconda dei diversi attacchi.
Le installazioni dannose del plugin Eval PHP vengono attivate dai seguenti indirizzi IP:
- 91.193.43.151
- 79.137.206.177
- 212.113.119.6
La backdoor non utilizza richieste POST per la comunicazione C2 per eludere il rilevamento ma, invece, passa i dati tramite cookie e richieste GET senza parametri visibili.
Inoltre, il dannoso [evalphp] gli shortcode vengono inseriti nelle bozze salvate nascoste nel dump SQL della tabella “wp_posts” e non nei post pubblicati. Questo è comunque sufficiente per eseguire il codice che inserisce la backdoor nel database del sito web.
Sucuri evidenzia la necessità di rimuovere plugin vecchi e non mantenuti di cui gli autori delle minacce possono facilmente abusare per scopi dannosi e sottolinea che Eval PHP non è l’unico caso rischioso.
Fino a quando i responsabili della gestione del repository dei plugin di WordPress non decideranno di agire, si consiglia ai proprietari di siti web di agire per proteggere i propri pannelli di amministrazione, mantenere aggiornata l’installazione di WordPress e utilizzare un firewall per applicazioni web.