Les attaquants utilisent Eval PHP, un plugin WordPress légitime obsolète, pour compromettre les sites Web en injectant des portes dérobées furtives.

Eval PHP est un ancien plugin WordPress qui permet aux administrateurs de site d’intégrer du code PHP sur les pages et les publications des sites WordPress, puis d’exécuter le code lorsque la page est ouverte dans le navigateur.

Le plugin n’a pas été mis à jour au cours de la dernière décennie et est généralement considéré comme un abandonware, mais il est toujours disponible via le référentiel de plugins WordPress.

Selon la société de sécurité de sites Web Sucuri, la tendance à utiliser Eval PHP pour intégrer du code malveillant sur des pages WordPress apparemment inoffensives a augmenté en avril 2023, le plugin WordPress ayant désormais en moyenne 4 000 installations malveillantes par jour.

Le principal avantage de cette méthode par rapport aux injections de porte dérobée conventionnelles est qu’Eval PHP peut être réutilisé pour réinfecter des sites nettoyés tout en gardant le point de compromis relativement caché.

​Injections furtives de bases de données
Les injections de code PHP détectées au cours des deux dernières semaines fournissent une charge utile précédemment documentée qui donne aux attaquants des capacités d’exécution de code à distance sur le site compromis.

Le code malveillant est injecté dans les bases de données des sites Web ciblés, plus précisément dans la table ‘wp_posts’. Cela le rend plus difficile à détecter car il échappe aux mesures de sécurité standard des sites Web telles que la surveillance de l’intégrité des fichiers, les analyses côté serveur, etc.

Pour ce faire, les acteurs de la menace utilisent un compte administrateur compromis ou nouvellement créé pour installer Eval PHP, leur permettant d’insérer du code PHP dans les pages et les publications du site piraté à l’aide des codes abrégés [evalphp].

Une fois le code exécuté, il supprime la porte dérobée (3e9c0ca6bbe9.php) à la racine du site. Le nom de la porte dérobée peut différer d’une attaque à l’autre.

Les installations malveillantes du plugin Eval PHP sont déclenchées à partir des adresses IP suivantes :

  • 91.193.43.151
  • 79.137.206.177
  • 212.113.119.6

La porte dérobée n’utilise pas les requêtes POST pour la communication C2 pour échapper à la détection mais, à la place, elle transmet les données via des cookies et des requêtes GET sans paramètres visibles.

De plus, les shortcodes malveillants [evalphp] sont plantés dans les brouillons sauvegardés cachés dans le vidage SQL de la table « wp_posts » et non sur les articles publiés. C’est encore suffisant pour exécuter le code qui injecte la porte dérobée dans la base de données du site Web.

Sucuri souligne la nécessité de supprimer les plugins anciens et non maintenus dont les pirates peuvent facilement abuser à des fins malveillantes et souligne que Eval PHP n’est pas le seul cas à risque.

Jusqu’à ce que les responsables de la gestion du référentiel de plugins WordPress décident d’agir, il est recommandé aux propriétaires de sites Web de prendre des mesures pour sécuriser leurs panneaux d’administration, maintenir leur installation WordPress à jour et utiliser un pare-feu d’application Web.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *