Atacantes estão utilizando o Eval PHP, um plugin legítimo desatualizado do WordPress, para comprometer sites injetando backdoors furtivos.
O Eval PHP é um antigo plugin do WordPress que permite aos administradores do site incorporar código PHP em páginas e postagens de sites do WordPress e executar o código quando a página é aberta no navegador.
O plugin não foi atualizado na última década e geralmente é considerado abandonware, mas ainda está disponível através do repositório de plugins do WordPress.
De acordo com a empresa de segurança de sites Sucuri, a tendência de usar o Eval PHP para incorporar código malicioso em páginas aparentemente inofensivas do WordPress aumentou em abril de 2023, com o plugin WordPress agora tendo uma média de 4.000 instalações maliciosas por dia.
A principal vantagem desse método em relação às injeções convencionais de backdoor é que o Eval PHP pode ser reutilizado para reinfectar sites limpos, mantendo o ponto de comprometimento relativamente oculto.
As injeções de código PHP detectadas nas últimas semanas entregam uma carga útil anteriormente documentada que dá aos atacantes capacidades de execução remota de código sobre o site comprometido.
O código malicioso é injetado nas tabelas 'wp_posts' dos sites visados.
Isso torna mais difícil detectá-lo, pois evita medidas de segurança padrão do site, como monitoramento de integridade de arquivos, varreduras do lado do servidor, etc.
Para fazer isso, os atores ameaçadores usam uma conta de administrador comprometida ou recém-criada para instalar o Eval PHP, permitindo que eles insiram código PHP em páginas e postagens do site invadido usando códigos curtos [evalphp].
Uma vez que o código é executado, ele deixa o backdoor (3e9c0ca6bbe9.php) na raiz do site.
O nome do backdoor pode ser diferente entre diferentes ataques.
As instalações maliciosas do plugin Eval PHP são acionadas pelos seguintes endereços IP:
O backdoor não usa solicitações POST para comunicação C2 para evitar detecção, mas, em vez disso, passa dados por meio de cookies e solicitações GET sem parâmetros visíveis.
Além disso, os códigos curtos maliciosos [evalphp] são plantados em rascunhos salvos ocultos no despejo SQL da tabela "wp_posts" e não em postagens publicadas.
Isso ainda é suficiente para executar o código que injeta o backdoor no banco de dados do site.
A Sucuri destaca a necessidade de retirar da lista plugins antigos e não mantidos que os atores de ameaças podem facilmente usar para fins maliciosos e aponta que o Eval PHP não é o único caso arriscado.
Até que os responsáveis pela gestão do repositório de plugins do WordPress decidam tomar medidas, é recomendável que os proprietários de sites tomem medidas para proteger seus painéis de administração, mantenham sua instalação do WordPress atualizada e usem um firewall de aplicativos da web.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...