Siber güvenlik araştırmacıları, tehdit aktörlerine kalıcı erişim sağlamak ve keyfi eylemler gerçekleştirmelerine izin vermek için WordPress sitelerindeki “Mu-Plugins” dizini içinde gizlenmiş yeni bir gizli arka kapı ortaya çıkardılar.
Kalıcı eklentiler (diğer adıyla Mu-Plugins), kurulumdaki tüm WordPress sitelerinde otomatik olarak etkinleştirilen özel eklentilerdir. Varsayılan olarak “WP-Content/Mu-Plugins” dizinde bulunurlar.
Onları saldırganlar için çekici bir seçenek yapan şey, Mu-Plugins’in WP-Admin’in eklentileri sayfasındaki varsayılan eklentiler listesinde göstermemesi ve eklenti dosyasını zorunluluk duyulması gereken dizinden kaldırması dışında devre dışı bırakılamamasıdır.
Sonuç olarak, bu teknikten yararlanan bir kötü amaçlı yazılım parçası, herhangi bir kırmızı bayrak oluşturmadan sessizce çalışmasına izin verir.
Web güvenlik şirketi Sucuri tarafından tespit edilen enfeksiyonda, Mu-Plugins dizinindeki (“WP-Index.php”) PHP komut dosyası, bir sonraki aşama yükü almak ve _hdra_core altındaki WP_OPtions tablosundaki WordPress veritabanına kaydetmek için bir yükleyici görevi görür.
Uzaktan yük, ROT13 kullanılarak gizlenmiş bir URL’den alınır, bir harfi ondan sonra 13. harfle değiştiren basit bir ikame şifresi (yani a, n, b olur O, C olur).
Güvenlik araştırmacısı Puja Srivastava, “Daha sonra getirilen içerik geçici olarak diske yazıldı ve yürütülüyor.” Dedi. “Bu arka kapı, saldırgana siteye kalıcı erişim ve herhangi bir PHP kodunu uzaktan çalıştırma yeteneği verir.
Özellikle, “Fiyatlandırma-Table -3.php” olarak tema dizine gizli bir dosya yöneticisi enjekte eder ve tehdit aktörlerinin dosyalara göz atmasına, yüklemesine veya silmesine izin verir. Ayrıca “ResmiWp” adlı bir yönetici kullanıcısı oluşturur ve daha sonra kötü amaçlı bir eklenti (“wp-bot-protect.php”) indirir ve etkinleştirir.
Silinme durumunda enfeksiyonu eski haline getirmenin yanı sıra, kötü amaçlı yazılım, “yönetici”, “kök” ve “wpsupport” gibi ortak yönetici kullanıcı adlarının şifrelerini saldırgan tarafından belirlenen varsayılan bir şifreye değiştirme yeteneğini içerir. Bu aynı zamanda kendi “ResmiWP” kullanıcısına da uzanır.
Bunu yaparken, tehdit aktörleri, diğer yöneticileri etkili bir şekilde kilitlerken, sitelere kalıcı erişimin tadını çıkarabilir ve kötü niyetli eylemler yapabilirler. Bu, veri hırsızlığından, Site ziyaretçilerine kötü amaçlı yazılım sunabilen veya diğer Scammy sitelerine yönlendirebilecek kod enjekte etmeye kadar değişebilir.
Srivastava, “Saldırganlar tam yönetici erişimi ve kalıcı bir arka kapı elde ederek sitede herhangi bir şey yapmalarına izin vererek daha fazla kötü amaçlı yazılım kurmaktan tahrif etmeye kadar.” Dedi. “Uzaktan komut yürütme ve içerik enjeksiyon özellikleri, saldırganların kötü amaçlı yazılımların davranışını değiştirebileceği anlamına geliyor.”
Bu tehditlere karşı hafifletmek için, site sahiplerinin WordPress, temaları ve eklentileri periyodik olarak güncellemeleri, iki faktörlü kimlik doğrulamasını kullanarak hesapları güvenli bir şekilde güncellemesi ve tema ve eklenti dosyaları dahil olmak üzere sitenin tüm bölümlerini düzenli olarak denetlemesi önemlidir.