Gli hacker sfruttano il plugin WordPress obsoleto per creare backdoor su migliaia di siti WordPress
È stato osservato che gli autori delle minacce sfruttano un plug-in WordPress legittimo ma obsoleto per creare backdoor di nascosto su siti Web come parte di una campagna in corso, Sucuri rivelato in un rapporto pubblicato la settimana scorsa.
Il plugin in questione è Eval PHP, rilasciato da uno sviluppatore chiamato flashpixx. Consente agli utenti di inserire pagine di codici PHP e post di siti WordPress che vengono poi eseguiti ogni volta che i post vengono aperti in un browser web.
Mentre Valutazione PHP non ha mai ricevuto un aggiornamento in 11 anni, le statistiche raccolte da WordPress mostrano che è installato su oltre 8.000 siti Web, con il numero di download alle stelle da uno o due in media da settembre 2022 a 6.988 il 30 marzo 2023.
Solo il 23 aprile 2023 è stato scaricato 2.140 volte. Il plugin ha accumulato 23.110 download negli ultimi sette giorni.
Da UTENTE ad AMMINISTRATORE: scopri come gli hacker ottengono il pieno controllo
Scopri le tattiche segrete che gli hacker utilizzano per diventare amministratori, come rilevarlo e bloccarlo prima che sia troppo tardi. Registrati oggi stesso al nostro webinar.
Sucuri, di proprietà di GoDaddy, ha affermato di aver osservato i database di alcuni siti Web infetti in cui è stato iniettato codice dannoso tabella “wp_posts”.che memorizza un sito post, pagine e menu di navigazione informazione. Le richieste provengono da tre diversi indirizzi IP con sede in Russia.
“Questo codice è abbastanza semplice: utilizza il file funzione file_put_contents creare uno script PHP nel docroot del sito web con la backdoor specificata per l’esecuzione del codice remoto,” ha detto il ricercatore di sicurezza Ben Martin.
“Sebbene l’iniezione in questione inserisca una backdoor convenzionale nella struttura del file, la combinazione di un plugin legittimo e un dropper backdoor in un post di WordPress consente loro di reinfettare facilmente il sito web e rimanere nascosti. Tutto ciò che l’aggressore deve fare è visitare uno dei post o delle pagine infette e la backdoor verranno inseriti nella struttura del file.”
Sucuri ha affermato di aver rilevato oltre 6.000 istanze di questa backdoor su siti Web compromessi negli ultimi 6 mesi, descrivendo il modello di inserimento del malware direttamente nel database come uno “sviluppo nuovo e interessante”.
La catena di attacco prevede l’installazione del plugin Eval PHP su siti compromessi e il suo utilizzo improprio per creare backdoor persistenti su più post che a volte vengono anche salvati come bozze.
“Per il modo in cui funziona il plugin Eval PHP è sufficiente salvare una pagina come bozza per poter eseguire il codice PHP all’interno del [evalphp] codici brevi,” ha spiegato Martin, aggiungendo che le pagine canaglia vengono create con un vero amministratore del sito come autore, suggerendo che gli aggressori sono riusciti ad accedere con successo come utente privilegiato.
Lo sviluppo evidenzia ancora una volta come gli autori malintenzionati stiano sperimentando diversi metodi per mantenere la propria posizione in ambienti compromessi ed eludere le scansioni lato server e il monitoraggio dell’integrità dei file.
Si consiglia ai proprietari del sito di proteggere il file Pannello di amministrazione WP inoltre, fai attenzione a eventuali accessi sospetti per impedire agli autori delle minacce di ottenere l’accesso amministrativo e installare il plug-in.
WordPress rimuove il plugin Exploited Eval PHP
Il team di WordPress è intervenuto per rimuovere il plugin Eval PHP abbandonato dal repository a seguito di una segnalazione di Sucuri secondo cui veniva abusato da autori di minacce per iniettare backdoor dannose in migliaia di siti Web.
“Questo plugin è stato chiuso dal 26 aprile 2023 e non è disponibile per il download”, si legge in un messaggio di bandiera. “Questa chiusura è permanente.”