Hackers explotan plugin obsoleto de WordPress

Se ha observado que los actores de amenazas aprovechan un complemento legítimo pero obsoleto de WordPress para enredarse subrepticiamente sitios web de puerta trasera como parte de una campaña en curso, reveló Sucuri en un informe publicado la semana pasada.

El plugin en cuestión es Eval PHP, lanzado por un desarrollador llamado flashpixx. Permite a los usuarios insertar páginas de códigos PHP y publicaciones de sitios de WordPress que luego se ejecutan cada vez que las publicaciones se abren en un navegador web.

Si bien Eval PHP nunca ha recibido una actualización en 11 años, las estadísticas recopiladas por WordPress muestran que está instalado en más de 8,000 sitios web, y el número de descargas se disparó de uno o dos en promedio desde septiembre de 2022 a 6,988 el 30 de marzo de 2023.

Solo el 23 de abril de 2023, se descargó 2,140 veces. El plugin ha acumulado 23.110 descargas en los últimos siete días.

Sucuri, propiedad de GoDaddy, dijo que observó las bases de datos de algunos sitios web infectados inyectados con código malicioso en la tabla "wp_posts", que almacena las publicaciones, páginas e información del menú de navegación de un sitio. Las solicitudes se originan en tres direcciones IP diferentes con sede en Rusia.

"Este código es bastante simple: utiliza la función file_put_contents para crear un script PHP en el docroot del sitio web con la puerta trasera de ejecución remota de código especificada", dijo el investigador de seguridad Ben Martin.


"Aunque la inyección en cuestión deja caer una puerta trasera convencional en la estructura de archivos, la combinación de un complemento legítimo y un cuentagotas de puerta trasera en una publicación de WordPress les permite reinfectar fácilmente el sitio web y permanecer ocultos. Todo lo que el atacante necesita hacer es visitar una de las publicaciones o páginas infectadas y la puerta trasera se inyectará en la estructura del archivo".

Sucuri dijo que detectó más de 6,000 instancias de esta puerta trasera en sitios web comprometidos en los últimos 6 meses, describiendo el patrón de insertar el malware directamente en la base de datos como un "desarrollo nuevo e interesante"

La cadena de ataque implica instalar el complemento Eval PHP en sitios comprometidos y hacer un mal uso para establecer puertas traseras persistentes en múltiples publicaciones que a veces también se guardan como borradores.

"La forma en que funciona el complemento PHP de Eval es suficiente para guardar una página como borrador para ejecutar el código PHP dentro de los códigos cortos [evalphp]", explicó Martin, y agregó que las páginas deshonestas se crean con un administrador del sitio real como autor, lo que sugiere que los atacantes pudieron iniciar sesión con éxito como usuario privilegiado.


El desarrollo apunta una vez más a cómo los actores maliciosos están experimentando con diferentes métodos para mantener su punto de apoyo en entornos comprometidos y evadir los escaneos del lado del servidor y el monitoreo de la integridad de los archivos.

Se recomienda a los propietarios de sitios que protejan el panel de control de WP Admin, así como que estén atentos a cualquier inicio de sesión sospechoso para evitar que los actores de amenazas obtengan acceso de administrador e instalen el complemento.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta