WordPress MU-Plugins exploatat pentru a ascunde coduri malițioase
Sursă: https://www.bleepingcomputer.com/
Persoanele rău intenționate utilizează directorul WordPress mu-plugins (Must-Use Plugins) pentru a rula pe ascuns cod malițios pe fiecare pagină, evitând detectarea.
Pluginurile Must-Use (mu-plugins) sunt un tip special de plugin WordPress care se execută automat la fiecare încărcare a paginii, fără a fi nevoie să fie activate în panoul de administrare.
Acestea sunt fișiere PHP stocate în directorul wp-content/mu-plugins/ care se execută automat la încărcarea paginii și nu sunt afișate în pagina obișnuită de administrare Plugins decât dacă este bifat filtrul Must-Use.
Mu-plugins au scopuri legitime, cum ar fi implementarea funcționalității la nivelul întregului site pentru reguli de securitate personalizate, ajustări de performanță și modificarea dinamică a variabilelor sau a altor coduri.
Cu toate acestea, deoarece MU-plugins rulează la fiecare încărcare a paginii și nu apar în lista standard de pluginuri, acestea pot fi utilizate pentru a efectua în mod discret o gamă largă de activități malițioase, cum ar fi sustragerea credențialelor, injectarea de cod malițios sau modificarea conținutului HTML.
Specialiștii au identificat 3 payload-uri pe care atacatorii le instalează în directorul mu-plugins. Acestea sunt rezumate astfel:
- redirect.php: redirecționează utilizatorii (cu excepția boților și a administratorilor conectați) către un site web malițios (updatesnow[.]net) care afișează un mesaj fals de actualizare a browserului pentru a-i determina să descarce programe malware;
- index.php: webshell care acționează ca un backdoor, obținând și executând cod PHP dintr-un depozit GitHub;
- custom-js-loader.php: încarcă JavaScript care înlocuiește toate imaginile de pe site cu un conținut explicit și deturnează toate link-urile outbound, deschizând în schimb pop-up-uri malițioase.
Situația webshell este deosebit de periculoasă deoarece permite atacatorilor să execute de la distanță comenzi pe server, să sustragă date și să lanseze atacuri în flux descendent asupra membrilor/vizitatorilor.
Se recomandă ca administratorii site-urilor WordPress să aplice actualizări de securitate pentru plugin-urile și temele lor, să le dezactiveze sau să le dezinstaleze pe cele care nu sunt necesare și să protejeze conturile privilegiate cu credențiale solide și autentificarea multi-factor.
Sursă: https://www.bleepingcomputer.com/news/security/hackers-abuse-wordpress-mu-plugins-to-hide-malicious-code/
