Los atacantes usan plugins abandonados para crear puertas traseras en sitios web.
AS 027-2023
Fecha: 21/Abr/2023
Resumen:
Los ciberdelincuentes están utilizando un plugin desactualizado de WordPress, llamado Eval PHP, para insertar código malicioso y puertas traseras en sitios web. Este plugin, que permite a los administradores de un sitio web insertar código PHP en los sitios de WordPress, no ha sido actualizado en la última década y se considera un software abandonado. Sin embargo, todavía está disponible en el repositorio de plugins de WordPress, lo que facilita a los atacantes su uso para comprometer sitios.
Sucuri, una empresa de seguridad de sitios web, advierte que Eval PHP ahora se utiliza en más de 4.000 instalaciones maliciosas al día. La principal ventaja del plugin es que puede reutilizarse para reinfectar sitios que ya han sido limpiados, manteniendo el punto de compromiso relativamente oculto. Los atacantes utilizan una cuenta de administrador comprometida o recién creada para instalar Eval PHP, lo que les permite insertar código PHP en las páginas y publicaciones del sitio comprometido utilizando códigos cortos.
El código malicioso se inyecta en las bases de datos de los sitios web objetivo, específicamente en la tabla 'wp_posts', lo que hace que sea difícil de detectar. La puerta trasera se coloca en la raíz del sitio y el nombre puede variar según el ataque. La puerta trasera no utiliza solicitudes POST para la comunicación C2 para evitar la detección, sino que pasa datos a través de cookies y solicitudes GET sin parámetros visibles. Además, los códigos cortos maliciosos se plantan en borradores guardados ocultos en el volcado SQL de la tabla "wp_posts" y no en publicaciones publicadas. Aun así, es suficiente para ejecutar el código que inserta la puerta trasera en la base de datos del sitio web.
Sucuri destaca la necesidad de eliminar plugins antiguos y sin mantenimiento que los ciberdelincuentes puedan abusar fácilmente con fines maliciosos y aconseja a los propietarios de sitios web asegurar sus paneles de administración, mantener su instalación de WordPress actualizada y utilizar un firewall de aplicaciones web.
Referencias:
