Νέα φτάνουν από την κοινότητα του WordPress ότι χάκερ να παραβίασαν ένα νόμιμο αλλά παλιό plugin WordPress για να παραβιάσουν κρυφά ιστοσελίδες. Την αποκάλυψη έκανε η Sucuri σε μια έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα.
Το εν λόγω πρόσθετο είναι το Eval PHP, που κυκλοφόρησε από έναν προγραμματιστή που ονομάζεται flashpixx. Επιτρέπει στους χρήστες να εισάγουν κώδικα PHP σε σελίδες και αναρτήσεις στο WordPress ο οποίος στη συνέχεια εκτελείτε κάθε φορά που ανοίγουν οι αναρτήσεις σε ένα web browser.
Παρότι το Eval PHP δεν έχει λάβει ποτέ ενημέρωση εδώ και 11 χρόνια, τα στατιστικά στοιχεία που συγκεντρώθηκαν από το WordPress δείχνουν ότι είναι εγκατεστημένο σε πάνω από 8.000 ιστότοπους. Ο δε αριθμός των λήψεων εκτοξεύτηκε από τις μία ή δύο κατά μέσο όρο από τον Σεπτέμβριο του 2022 σε 6.988 στις 30 Μαρτίου 2023.
Σχόλιο Olet
Από την αλματώδη αύξηση στις λήψεις μπορούμε εύκολα και ασφαλώς να εξάγουμε το συμπέρασμα ότι αυτές δεν έγιναν από τους διαχειριστές των ιστότοπων. Οι χάκερ είχαν ήδη πρόσβαση σε χιλιάδες ιστοσελίδες. Είχαν επίσης γνώση των αδυναμιών και δυνατοτήτων του plugin. Κρυβόμενοι πίσω από αυτό το νόμιμο plugin, το εγκαθιστούσαν στις χακαρισμένες ιστοσελίδες και κατόπιν εκτελούσαν τον κακόβουλο κώδικα για να προκαλέσουν ζημιά στους επισκέπτες αυτών.
Μόνο στις 23 Απριλίου 2023, έγινε λήψη 2.140 φορές. Το plugin είχε συγκεντρώσει 23.110 λήψεις μεταξύ 17 και 24 Απριλίου. Συνολικά το plugin κατέβηκε 120.573 φορές!
Σχόλιο Olet
Σκεφτείτε πόσες σελίδες είχαν ήδη χακαρισμένες οι χάκερ! Η συντριπτική πλειοψηφία από αυτά τα κατεβάσματα έγιναν για να εξυπηρετήσουν τους χάκερ. Διότι κανένας λογικός διαχειριστής δεν θα κατέβαζε ένα παλιό, μη ενημερωμένο, μη ασφαλές plugin στην ιστοσελίδα του. Το επόμενο ερώτημα είναι: Που έκαναν hosting αυτές οι χιλιάδες χακαρισμένες ιστοσελίδες και τι μέτρα προστασίας είχαν οι hosting providers; Είναι χρήσιμο να απαντηθεί, όχι για να κατηγορήσουμε τους παρόχους hosting, αλλά για να δούμε ποια συστήματα ασφαλείας κάνουν τη δουλειά τους και ποια όχι.
Το WordPress.org ευτυχώς έλαβε σχετικά γρήγορα μέτρα και απενεργοποίησε το plugin στις 26 Απριλίου όπως μπορούμε να δούμε στη σελίδα του Eval PHP.
Η Sucuri, που ανήκει στην GoDaddy, είπε ότι παρατήρησε κακόβουλο κώδικα σε μολυσμένες ιστοσελίδες στο “wp_posts” table, εντός του οποίου αποθηκεύονται πληροφορίες για τις αναρτήσεις, τις σελίδες και το μενού πλοήγησης. Τα αιτήματα πρόσβασης προέρχονταν από τρεις διαφορετικές διευθύνσεις IP με έδρα τη Ρωσία.
“Αυτός ο κώδικας είναι πολύ απλός: Χρησιμοποιεί τη συνάρτηση file_put_contents για να δημιουργήσει ένα PHP script στο docroot του ιστότοπου με την εκτέλεση συγκεκριμένου backdoor κώδικα”, δήλωσε ο ερευνητής ασφαλείας Ben Martin.
“Αν και η εν λόγω έγχειση δημιουργεί ένα συμβατικό backdoor στη δομή των αρχείων, ο συνδυασμός ενός νόμιμου plugin και ενός δημιουργού backdoor σε μια WordPress ιστοσελίδα τους επιτρέπει να μολύνουν ξανά τον ιστότοπο και να παραμείνουν κρυφοί. Το μόνο που χρειάζεται να κάνει ο εισβολέας είναι να επισκεφτεί μία από τις μολυσμένες αναρτήσεις ή σελίδες και το backdoor θα εισαχθεί στη δομή των αρχείων.”
Η Sucuri είπε ότι εντόπισε πάνω από 6.000 περιπτώσεις αυτού του backdoor σε παραβιασμένους ιστότοπους τους τελευταίους 6 μήνες, περιγράφοντας το μοτίβο εισαγωγής του κακόβουλου λογισμικού απευθείας στη βάση δεδομένων ως “νέα και ενδιαφέρουσα εξέλιξη”.
Αυτό το συμβάν υποδεικνύει για άλλη μια φορά τον τρόπο με τον οποίο οι κακόβουλοι παράγοντες πειραματίζονται με διαφορετικές μεθόδους για να διατηρήσουν τη πρόσβασή τους σε παραβιασμένα περιβάλλοντα και να αποφύγουν τις σαρώσεις από τον διακομιστή και την παρακολούθηση της ακεραιότητας των αρχείων.
Συνιστάται στους ιδιοκτήτες ιστοτόπων να ασφαλίζουν τον WP Admin Dashboard με ισχυρά passwords, να ελέγχουν για τυχόν ύποπτες αλλαγές στην ιστοσελίδα τους και να διατηρούν μόνο αναβαθμισμένα και σύγχρονα plugins και themes.
Σχόλιο Olet
Υπάρχουν ορισμένες βασικές αρχές που πρέπει να τηρεί ο διαχειριστής κάθε ιστοσελίδας για να έχει ένα εγγυημένα υψηλό επίπεδο ασφαλείας. Ακολουθήστε αυτές τις αρχές – πρακτικές κατά γράμμα, που πολλάκις αναφέρει η Konet στους πελάτες της, για διατηρείτε ασφαλή τον ιστότοπό σας.
Πηγή: https://thehackernews.com/2023/04/hackers-exploit-outdated-wordpress.html