Atacatorii folosesc un plugin WordPress neactualizat pentru a face backdoor pe site-urile web
https://www.bleepingcomputer.com
Persoanele rău intenționate folosesc Eval PHP, un plugin legitim și neactualizat al platformei WordPress, pentru a compromite site-uri web prin injectarea de backdoor-uri.
Eval PHP este un plugin WordPress mai vechi care permite administratorilor de site-uri să integreze cod PHP în paginile și postările site-urilor WordPress și apoi să execute codul atunci când pagina este deschisă în browser.
Plugin-ul nu a fost actualizat în ultimul deceniu și este considerat, în general, ca fiind abandonat, dar încă este disponibil prin intermediul depozitului de plugin-uri WordPress.
Payload-urile distribuite oferă atacatorilor posibilitatea de a executa cod de la distanță asupra site-ului compromis. Codul malițios este implementat în bazele de date ale site-urilor web vizate, în special în tabelul wp_posts.
Atacatorii folosesc un cont de administrator compromis sau nou creat pentru a instala Eval PHP, ceea ce le permite să insereze cod PHP în paginile și postările site-ului afectat folosind shortcodes [evalphp].
Instalările de plugin-uri Eval PHP malițioase sunt realizate de la următoarele adrese IP:
- 91.193.43.151
- 79.137.206.177
- 212.113.119.6
Backdoor-ul nu utilizează cereri POST pentru comunicarea C2 pentru a evita detectarea, dar, în schimb, transmite date prin intermediul cookie-urilor și al cererilor GET fără parametri vizibili.
Administratorilor site-urilor web li se recomandă să ia măsuri pentru a-și securiza panourile de administrare, să își mențină platforma WordPress actualizată și să utilizeze un firewall pentru aplicații web.
Sursă: https://www.bleepingcomputer.com/news/security/attackers-use-abandoned-wordpress-plugin-to-backdoor-websites/
