Home Sociedad Cibercriminales utilizan un plugin de WordPress abandonado, para abrir puertas traseras en...

Cibercriminales utilizan un plugin de WordPress abandonado, para abrir puertas traseras en sitios web

Los atacantes están utilizando Eval PHP, un plugin legítimo y obsoleto de WordPress, para comprometer sitios web mediante la inyección de puertas traseras sigilosas.

Eval PHP es un antiguo plugin de WordPress que permite a los administradores del sitio incrustar código PHP en páginas y entradas de sitios de WordPress y luego ejecutar el código cuando la página se abre en el navegador.

El plugin no se ha actualizado en la última década y generalmente se considera abandonware, sin embargo, todavía está disponible a través del repositorio de plugins de WordPress.

Según la empresa de seguridad de sitios web Sucuri, la tendencia a utilizar Eval PHP para incrustar código malicioso en páginas de WordPress aparentemente inocuas se disparó en abril de 2023, y en la actualidad el plugin de WordPress cuenta con una media de 4.000 instalaciones maliciosas al día.

La principal ventaja de este método frente a las inyecciones de puerta trasera convencionales es que Eval PHP puede reutilizarse para reinfectar sitios limpios, manteniendo el punto de compromiso relativamente oculto.

Las inyecciones de código PHP detectadas en las últimas dos semanas entregan una carga útil previamente documentada que otorga a los atacantes capacidades de ejecución remota de código sobre el sitio comprometido.

El código malicioso se inyecta en las bases de datos de los sitios web atacados, concretamente en la tabla “wp_posts”. Esto hace que sea más difícil de detectar, ya que elude las medidas de seguridad estándar de los sitios web, como la supervisión de la integridad de los archivos, los análisis del lado del servidor, etc.

Para ello, los autores de la amenaza utilizan una cuenta de administrador comprometida o recién creada para instalar Eval PHP, lo que les permite insertar código PHP en las páginas y entradas del sitio vulnerado utilizando shortcodes [evalphp].

El backdoor no utiliza peticiones POST para la comunicación C2 con el fin de eludir la detección, sino que, en su lugar, pasa datos a través de cookies y peticiones GET sin parámetros visibles.

Además, los códigos cortos maliciosos [evalphp] se colocan en borradores guardados ocultos en el volcado SQL de la tabla “wp_posts” y no en las entradas publicadas. Esto sigue siendo suficiente para ejecutar el código que inyecta la puerta trasera en la base de datos del sitio web.

Sucuri destaca la necesidad de eliminar de la lista los plugins antiguos y sin mantenimiento de los que los actores de amenazas pueden abusar fácilmente con fines maliciosos y señala que Eval PHP no es el único caso de riesgo.