Atacatorii folosesc un plugin WordPress neactualizat pentru a face backdoor pe site-urile web

Persoanele rău intenționate folosesc Eval PHP, un plugin legitim și neactualizat al platformei WordPress, pentru a compromite site-uri web prin injectarea de backdoor-uri.

Eval PHP este un plugin WordPress mai vechi care permite administratorilor de site-uri să integreze cod PHP în paginile și postările site-urilor WordPress și apoi să execute codul atunci când pagina este deschisă în browser.

Plugin-ul nu a fost actualizat în ultimul deceniu și este considerat, în general, ca fiind abandonat, dar încă este disponibil prin intermediul depozitului de plugin-uri WordPress.

Payload-urile distribuite oferă atacatorilor posibilitatea de a executa cod de la distanță asupra site-ului compromis. Codul malițios este implementat în bazele de date ale site-urilor web vizate, în special în tabelul wp_posts.

Atacatorii folosesc un cont de administrator compromis sau nou creat pentru a instala Eval PHP, ceea ce le permite să insereze cod PHP în paginile și postările site-ului afectat folosind shortcodes [evalphp].

Instalările de plugin-uri Eval PHP malițioase sunt realizate de la următoarele adrese IP:

• 91.193.43.151
• 79.137.206.177
• 212.113.119.6

Backdoor-ul nu utilizează cereri POST pentru comunicarea C2 pentru a evita detectarea, dar, în schimb, transmite date prin intermediul cookie-urilor și al cererilor GET fără parametri vizibili.

Administratorilor site-urilor web li se recomandă să ia măsuri pentru a-și securiza panourile de administrare, să își mențină platforma WordPress actualizată și să utilizeze un firewall pentru aplicații web.

Sursă: https://www.bleepingcomputer.com/news/security/attackers-use-abandoned-wordpress-plugin-to-backdoor-websites/