Attackers use abandoned WordPress plugin to backdoor websites
2023/04/20 BleepingComputer −−− WordPress の正規プラグインである、Eval PHP を悪用する脅威アクターたちはステルス・バックドアを注入することで、Web サイトを侵害している。Eval PHP プラグインとは、サイト管理者が WordPress サイトのページや投稿に PHP コードを埋め込み、ブラウザでページを開いたときにコードを実行できるようにするものだ。このプラグインは、過去 10年間更新されておらず、アバンダンウェアと見なされている。しかし、今も WordPress のプラグイン・リポジトリで入手可能となっている。
Web サイト・セキュリティ企業である Sucuri によると、無害に見える WordPress ページに、Eval PHP を介して悪意のコードを埋め込むまれているケースが、2023年4月に急増しているという。そして、現時点において同プラグインは、1日平均 4000件もダウンロードされているとのことだ。
この、Eval PHP を悪用する攻撃の主な利点は、従来のバックドア型インジェクションと比較して、侵害のポイントを隠しやすい状態を保ったたままで、クリーンなサイトを再感染させることができる点だ。
ステルス性の高いデータベース・インジェクション
ここ数週間で検出された PHP コード・インジェクションは、以前に文書化されたペイロードを侵害したサイト上にダウンロードすることで、攻撃者はリモート・コードの実行が可能になる。
この悪意のコードは、標的の Web サイトのデータベースに対して、主に wp_posts テーブルに対して注入される。それにより、ファイルの整合性監視やサーバーサイドのスキャンなどの、標準的な Web サイト・セキュリティ対策を回避していく。
そのために脅威アクターは、侵害した管理者アカウント、または、新しく作成した管理者アカウントを使用して、Eval PHP をインストールし、[evalphp] ショートコードを用いて、侵害したサイトのページや投稿に PHP コードを挿入する。
このコードが実行されると、サイトの root にバックドア (3e9c0ca6bbe9.php) がドロップされる。このバックドアの名称は、それぞれの攻撃ごとに異なる場合がある。
悪意の Eval PHP プラグインのインストールは、以下の IP アドレスから誘発される:
- 91.193.43.151
- 79.137.206.177
- 212.113.119.6
バックドアは、検出を回避するために、C2 通信では POST リクエストを使用しない。その代わりに、Cookie や、パラメータが見えない GET リクエストでデータを渡す。
さらに、悪意の [evalphp] ショートコードは、wp_posts テーブルの SQL ダンプに隠された、保存済みドラフトに仕込まれており、公開済みの投稿には仕込まれていない。これでも、Web サイトのデータベースにバックドアを注入するための、コードを実行するには十分だとされる。
Sucuri の指摘は、脅威アクターが容易に悪用できる、古いプラグインやメンテナンスされていないプラグインの登録の解除が必要であり、また、Eval PHP だけが危険なケースではないというものだ。
WordPress のプラグイン・リポジトリを管理する責任者が対策を決定するまでの間、Web サイトの所有者に推奨されるのは、管理画面の安全を確保する/WordPress のインストールを最新に保つ/Web アプリケーション・ファイアウォールを使用するなどの対策を講じることだ。
アバンダンウェア (Abandonware) だと指摘されている、Eval PHP プラグインを使用している方は、ご注意ください。かなり、深刻な状況になっているようです。それにしても、WordPress のプラグインには問題が多いですね。よろしければ、WordPress Plugin で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.