Posté le avril 25, 2023 à 6:28
DES HACKERS UTILISENT UN PLUGIN WORDPRESS OBSOLÈTE POUR OUVRIR DES PORTES DÉROBÉES SUR DES SITES WEB DANS LE CADRE D’UNE CAMPAGNE EN COURS
Des hackers ont découvert qu’ils utilisaient un plugin WordPress légitime déjà obsolète. Les hackers ont utilisé ce plugin obsolète pour pirater des sites web dans le cadre d’une campagne de piratage en cours. L’activité a été signalée par Sucuri la semaine dernière.
Des hackers utilisent des plugins WordPress obsolètes pour ouvrir des portes dérobées sur des sites web
Le plugin WordPress signalé par le hacker est connu sous le nom d’Eval PHP. Il a été créé par un développeur connu sous le nom de flashpixx et permet à un utilisateur d’entrer du code PHP dans les pages et les articles des sites WordPress. Le plugin sera automatiquement lancé chaque fois qu’un article sera ouvert dans le navigateur web.
Le plugin Eval PHP est l’un des plus anciens outils de WordPress. Cependant, le développeur n’a pas publié de mise à jour pour le plugin depuis 11 ans. Malgré l’absence de mises à jour, le plugin a été installé sur plus de 8 000 sites web.
Le plugin Eval PHP reste l’un des plugins les plus utilisés par les utilisateurs de WordPress. Le nombre de téléchargements de cet outil a rapidement augmenté, passant d’un ou deux en septembre de l’année dernière à 6 988 téléchargements en moyenne le 30 mars 2023. Rien que le 23 avril, ce plugin a été téléchargé plus de 2000 fois.
Le plugin PHP Eval a été téléchargé 23 110 fois au cours des sept derniers jours. Cette utilisation accrue constitue une menace majeure pour les propriétaires et les utilisateurs de sites web. Elle permet également aux hackers d’accéder à un vaste environnement d’attaque qu’ils peuvent utiliser pour lancer leurs campagnes malveillantes.
Le récent rapport de Sucuri indique que certaines bases de données de sites web ont été affectées parce que le plugin contenait un code malveillant installé dans la table « wp_posts ». Cette table stocke les messages, les pages et les informations du menu de navigation d’un site. Ces demandes semblent provenir de trois adresses IP différentes en Russie.
Le rapport de Sucuri précise qu’il ne s’agit pas exactement d’une nouvelle porte dérobée ; des portes dérobées PHP plus conventionnelles de ce type ont été découvertes dès l’été dernier, et plus de 6 000 instances de cette porte dérobée ont été nettoyées sur des sites compromis au cours des six derniers mois seulement. Cependant, la porte dérobée injectée dans la base de données est certainement un développement nouveau et intéressant ».
Les hackers ont utilisé un code simple
Le chercheur en sécurité Ben Martin de Sucuri a déclaré que le code utilisé par les hackers était assez simple. Le code déploie le file_put_contents pour générer un script PHP dans le docroot du site web. Pour ce faire, il utilise la porte dérobée d’exécution de code à distance spécifiée.
Le chercheur a ajouté que l’injection déclencherait une porte dérobée conventionnelle dans la structure du fichier. Par la suite, la combinaison d’un plugin légitime et d’un dropper de porte dérobée dans un article WordPress permettra aux hackers de réinfecter facilement ce site web et de rester cachés dans le système.
La nature de cette attaque n’est pas compliquée non plus. Le hacker n’a qu’à visiter l’une des pages ou l’un des posts infectés, après quoi la porte dérobée sera installée au sein de la structure du fichier. Le rapport de Sucuri fait état de plus de 6 000 cas d’installation de cette porte dérobée sur des sites web compromis au cours des six derniers mois.
Le rapport a décrit le modèle d’installation du logiciel malveillant dans la base de données, en disant qu’il s’agissait d’un « développement nouveau et intéressant. » La chaîne d’attaque pour cet exploit consiste pour les hackers à installer le plugin PHP Eval avec les sites web compromis. Les attaquants utilisent ensuite le plugin pour créer des portes dérobées persistantes dans différents messages. Ces articles peuvent parfois être sauvegardés en tant que brouillons sur le site WordPress.
Le chercheur en sécurité a expliqué plus en détail le fonctionnement du plugin et les raisons pour lesquelles il est susceptible d’être exploité. Ce plugin fonctionne d’une manière qui suffit à enregistrer une page web en tant que brouillon pour exécuter le code PHP dans les shortcodes evalphp. Martin a également noté que les pages frauduleuses ont été créées en utilisant un véritable administrateur de site en tant qu’auteur. Cela suggère que l’attaquant a pu se connecter à la page en tant qu’utilisateur privilégié.
Ce développement illustre la façon dont les acteurs de la menace explore toujours de nouvelles méthodes pour maintenir leur emprise dans des environnements compromis tout en évitant les fraudes côté serveur. Les hackers peuvent aussi surveiller l’intégrité des fichiers, ce qui peut apporter une valeur ajoutée à la plateforme.
Les propriétaires de ces sites web ont été invités à mettre en place les mesures de sécurité appropriées pour le tableau de bord WP Admin. Ils doivent également se montrer méfiants à l’égard de toute connexion suspecte à leur site. En restant vigilants et en prenant les devants, ils peuvent éviter d’être victimes de ces exploits. La surveillance de l’activité de la menace peut empêcher les hackers d’obtenir un accès administrateur et d’installer le plugin.
