Sucuri’nin geçen hafta yayınladığı bir raporda, tehdit aktörlerinin devam eden bir kampanyanın parçası olarak arka kapı web sitelerine gizlice arka kapı web sitelerine ulaşmak için meşru ancak eski bir WordPress eklentisinden yararlandıkları gözlemlendi.
Söz konusu eklenti, flashpixx adlı bir geliştirici tarafından yayınlanan Eval PHP’dir. Kullanıcıların, daha sonra gönderiler bir web tarayıcısında her açıldığında yürütülen WordPress sitelerinin PHP kod sayfalarını ve gönderilerini eklemelerine olanak tanır.
Eval PHP 11 yıldır hiç güncelleme almamış olsa da, WordPress tarafından toplanan istatistikler, 8.000’den fazla web sitesinde yüklü olduğunu ve indirme sayısının Eylül 2022’den bu yana ortalama bir veya ikiden 30 Mart 2023’te 6.988’e fırladığını gösteriyor.
Yalnızca 23 Nisan 2023’te 2.140 kez indirildi. Eklenti, son yedi gün içinde 23.110 kez indirildi.
GoDaddy’nin sahibi olduğu Sucuri, bazı virüslü web sitelerinin veritabanlarının, bir sitenin gönderilerini, sayfalarını ve gezinme menüsü bilgilerini depolayan “wp_posts” tablosuna kötü amaçlı kod enjekte edildiğini gözlemlediğini söyledi. İstekler, Rusya merkezli bu üç IP adresinden kaynaklanmaktadır.
Güvenlik araştırmacısı Ben Martin, “Bu kod oldukça basit: Belirtilen uzaktan kod yürütme arka kapısına sahip web sitesinin docroot’unda bir PHP betiği oluşturmak için file_put_contents işlevini kullanır” dedi.
“Söz konusu enjeksiyon, dosya yapısına geleneksel bir arka kapı bıraksa da, meşru bir eklenti ve bir WordPress gönderisindeki bir arka kapı damlatıcısının birleşimi, web sitesini kolayca yeniden enfekte etmelerine ve gizli kalmalarına olanak tanır. Saldırganın tek yapması gereken, ziyaret etmek virüslü gönderilerden veya sayfalardan biri ve arka kapı dosya yapısına enjekte edilecek.”
Sucuri, yalnızca son 6 ayda bu arka kapının 6.000’den fazla örneğini tespit ettiğini ve kötü amaçlı yazılımı doğrudan veritabanına yerleştirme modelini “yeni ve ilginç bir gelişme” olarak tanımladığını söyledi.
Saldırı zinciri, Eval PHP eklentisinin güvenliği ihlal edilmiş sitelere yüklenmesini ve bazen taslak olarak da kaydedilen birden fazla gönderide kalıcı arka kapılar oluşturmak için kötüye kullanılmasını gerektirir.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
“Eval PHP eklentisinin çalışma şekli, içindeki PHP kodunu yürütmek için bir sayfayı taslak olarak kaydetmek yeterlidir. [evalphp] kısa kodlar,” diye açıklayan Martin, saldırganların ayrıcalıklı bir kullanıcı olarak başarılı bir şekilde oturum açabildiklerini öne sürerek, sahte sayfaların yazarları gerçek bir site yöneticisi tarafından oluşturulduğunu sözlerine ekledi.
Gelişme, kötü niyetli aktörlerin güvenliği ihlal edilmiş ortamlarda yerlerini korumak ve sunucu tarafı taramalarından ve dosya bütünlüğü izlemeden kaçmak için nasıl farklı yöntemler denediğine bir kez daha işaret ediyor.
Site sahiplerine, tehdit aktörlerinin yönetici erişimi elde etmesini ve eklentiyi yüklemesini önlemek için WP Admin kontrol panelini güvenli hale getirmeleri ve şüpheli girişlere dikkat etmeleri önerilir.