21/04/23
По данным компании Sucuri, занимающейся безопасностью веб-сайтов, злоумышленники в последнее время активно используют Eval PHP, сильно устаревший законный плагин WordPress, для компрометации веб-сайтов путем внедрения скрытых бэкдоров.
Eval PHP — это, по нынешним меркам, древний плагин WordPress, выпущенный в 2012 году, поясняет Securitylab. Он позволяет администраторам сайтов встраивать PHP-код на страницы своих сайтов, а затем выполнять этот код при открытии страницы в браузере. Плагин не обновлялся в течение последнего десятилетия и давно считается заброшенным, однако он всё ещё доступен в репозитории плагинов WordPress.
В этом месяце исследователи заметили некую тенденция использования Eval PHP киберпреступниками для встраивания вредоносного кода на, казалось бы, безобидные страницы WordPress. Заброшенный плагин благодаря хакерам теперь имеет в среднем почти 8000 вредоносных установок в день.
Основное преимущество этого метода по сравнению с обычными бэкдор-инъекциями заключается в том, что Eval PHP можно использовать для повторного заражения уже очищенных сайтов, сохраняя при этом точку компрометации неизвестной для реального администратора сайта.
Вредоносный код внедряется в базы данных целевых веб-сайтов, в частности, в таблицу «wp_posts». Это усложняет обнаружение, поскольку такой способ обходит стандартные меры безопасности веб-сайта, такие как мониторинг целостности файлов, сканирование на стороне сервера и т.д.
Как сообщается, злоумышленники используют скомпрометированные или новые учётные записи администратора для установки Eval PHP и внедрения вредоносного кода. Как только код запускается, в корень сайта сбрасывается бэкдор. Данный бэкдор не использует POST-запросы для связи с C2-сервером, чтобы избежать обнаружения. Вместо этого он передаёт все данные через cookie-файлы и GET-запросы без видимых параметров.
Более того, вредоносные шорткоды подсаживаются в сохранённые проекты, скрытые в дампе SQL-таблицы «wp_posts», а не в опубликованные страницы. И этого по-прежнему достаточно для выполнения кода, внедряющего бэкдор в базу данных веб-сайта.
Sucuri подчеркивает необходимость полного удаления и блокировки Eval PHP и прочих старых и неподдерживаемых плагинов, которые киберпреступники могут легко использовать в злонамеренных целях.
Пока ответственные за репозиторий плагинов WordPress бездействуют, владельцам веб-сайтов рекомендуется самостоятельно принять меры для защиты своих панелей администратора. Сделать это можно путём использования уникальных и более сложных учётных данных, поддержки используемой версии WordPress в актуальном состоянии, а также использования брандмауэра для веб-приложений.
