ΑρχικήsecurityWordPress plugin: Eπιτρέπει σε hackers να διεισδύουν σε ιστότοπους

WordPress plugin: Eπιτρέπει σε hackers να διεισδύουν σε ιστότοπους

Οι επιτιθέμενοι εκμεταλλεύονται ένα παλιό νόμιμο plugin του WordPress, το Eval PHP, για να διεισδύσουν σε ιστότοπους και να εισέλθουν από κρυφά backdoors.

Δείτε επίσης: Καμπάνια Balada Injector malware: Έχει μολύνει 1 εκατομμύριο ιστότοπους WordPress

WordPress

Το Eval PHP είναι ένα παλιό plugin του WordPress που επιτρέπει στους διαχειριστές να ενσωματώνουν κώδικα PHP σε σελίδες και αναρτήσεις ιστότοπων WordPress. Ο κώδικας εκτελείται κατά την ανοίγματα της σελίδας από τον περιηγητή. Το plugin δεν έχει ανανεωθεί εδώ και δέκα χρόνια και θεωρείται εγκαταλελειμμένο λογισμικό, αλλά είναι ακόμα διαθέσιμο μέσω του αποθετηρίου προσθηκών του WordPress.

Η εταιρεία ασφάλειας ιστοτόπων Sucuri αναφέρει ότι η τάση της χρήσης της Eval PHP για την εισαγωγή κακόβουλου κώδικα σε σελίδες WordPress που δεν φαίνεται να έχουν κανένα πρόβλημα, αυξήθηκε τον Απρίλιο του 2023. Επιπλέον, το WordPress plugin οδήγησε περίπου σε 4.000 κακόβουλες εγκαταστάσεις καθημερινά.

Το κύριο πλεονέκτημα αυτής της μεθόδου σε σχέση με τις συμβατικές εγχύσεις backdoor είναι ότι το Eval PHP μπορεί να χρησιμοποιηθεί ξανά για να μολύνει καθαρισμένους χώρους, ενώ παραμένει σχετικά κρυφή η τοποθεσία της παραβίασης.

Κακόβουλος κώδικας εισέρχεται στις βάσεις δεδομένων των επιλεγμένων ιστοσελίδων, συγκεκριμένα στον πίνακα ‘wp_posts’. Αυτό καθιστά δυσκολότερο τον εντοπισμό, καθώς αποφεύγει τα τυπικά μέτρα ασφαλείας ιστότοπου, όπως η παρακολούθηση της ακεραιότητας των αρχείων, οι σαρώσεις από την πλευρά του διακομιστή κ.λπ.

Για να γίνει αυτό, οι φορείς απειλών χρησιμοποιούν έναν παραβιασμένο ή πρόσφατα δημιουργημένο λογαριασμό διαχειριστή για να εγκαταστήσουν το Eval PHP, επιτρέποντάς τους να εισάγουν κώδικα PHP σε σελίδες και δημοσιεύσεις του παραβιασμένου ιστότοπου χρησιμοποιώντας συντόμους [evalphp].

Δείτε ακόμα: Οι χάκερ εκμεταλλεύονται bug στο plugin Elementor Pro WordPress

πρόσθετο

Μόλις εκτελεστεί ο κώδικας, ρίχνει τo backdoor (3e9c0ca6bbe9.php) στη ρίζα του ιστότοπου. Η ονομασία το backdoor μπορεί να αλλάζει ανάλογα με την επίθεση.

Οι επικίνδυνες εφαρμογές προσθέτουν κώδικα Eval PHP και προέρχονται από τις παρακάτω διευθύνσεις IP:

  • 91.193.43.151
  • 79.137.206.177
  • 212.113.119.6

To backdoor δεν χρησιμοποιεί αιτήματα POST για να επικοινωνήσει με το C2, ώστε να μην αποκαλυφθεί η θέση της. Αντί για αυτό, χρησιμοποιεί cookies και αιτήματα GET χωρίς ορατές παραμέτρους για να διαβιβάσει τα δεδομένα.

Επιπλέον, οι κακόβουλοι κώδικες [evalphp] βρίσκονται σε σύντομες μορφές και αποθηκεύονται σε απόρρητους πίνακες του WordPress με όνομα “wp_posts” και όχι σε δημοσιευμένα άρθρα. Αυτό είναι επαρκές για να εκτελεστεί ο κώδικας που προσθέτει το backdoor στη βάση δεδομένων του ιστότοπου.

Η Sucuri επισημαίνει ότι πρέπει να διαγράψετε παλιά και απροστάτευτα plugin που μπορούν εύκολα να καταχραστούν για κακόβουλους σκοπούς. Επίσης, υπογραμμίζει ότι το plugin Eval PHP δεν είναι η μόνη επικίνδυνη περίπτωση.

Δείτε επίσης: WordPress: Αναγκαστική ενημέρωση του πρόσθετου WooCommerce

Συνιστάται στους ιδιοκτήτες ιστότοπων να πάρουν μέτρα ασφαλείας για την προστασία των πανελ διαχειριστή τους, να ενημερώνουν το WordPress και να χρησιμοποιούν ένα τείχος προστασίας εφαρμογών ιστού, εν αναμονή αναλογής δράσης από τους υπεύθυνους του αποθετηρίου προσθετων του WordPress.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS