Istraživači sajber sigurnosti otkrili su novi prikriveni backdoor skriven unutar direktorija “mu-plugins” na WordPress stranicama koji omogućava prijetnjama stalan pristup i omogućava im izvođenje proizvoljnih radnji.
Dodaci (mu-plugins) koje morate koristiti su posebni dodaci koji se automatski aktiviraju na svim WordPress stranicama tokom instalacije. Podrazumjevano se nalaze u direktoriju “wp-content/mu-plugins”.
Ono što ih čini atraktivnom opcijom za napadače je to što se mu-plugini ne prikazuju na zadanoj listi dodataka na stranici Dodaci u wp-admin-u i ne mogu se onemogućiti osim uklanjanjem datoteke dodatka iz direktorija “must-use”.
Kao rezultat toga, maliciozni softver koji koristi ovu tehniku omogućava mu tiho funkcionisanje, bez ikakvih upozorenja.
U infekciji koju je uočila kompanija za web sigurnost Sucuri, PHP skripta u direktoriju mu-plugins (“wp-index.php”) služi kao program za učitavanje sljedećeg sadržaja i njegovo spremanje u WordPress bazu podataka unutar tabele wp_options pod _hdra_core.
Udaljeni korisni teret se preuzima sa URL-a koji je maskiran korištenjem ROT13 , jednostavne supstitucijske šifre koja zamjenjuje slovo sa 13. slovom nakon njega (tj. A postaje N, B postaje O, C postaje P i tako dalje).
„Preuzeti sadržaj se zatim privremeno zapisuje na disk i izvršava“, rekao je istraživač sigurnosti Puja Srivastava . „Ovaj backdoor napadaču daje stalan pristup stranici i mogućnost daljinskog pokretanja bilo kojeg PHP koda.“
Konkretno, u direktorij teme ubacuje skriveni upravitelj datotekama pod nazivom “pricing-table-3.php”, što omogućava prijetnjama da pregledaju, otpremaju ili brišu datoteke. Također kreira administratorskog korisnika pod nazivom “officialwp”, a zatim preuzima maliciozni dodatak (“wp-bot-protect.php”) i aktivira ga.
Osim ponovnog postavljanja infekcije u slučaju brisanja, zlonamjerni softver uključuje mogućnost promjene lozinki uobičajenih administratorskih korisničkih imena, kao što su “admin”, “root” i “wpsupport”, u zadanu lozinku koju je postavio napadač. Ovo se odnosi i na vlastitog korisnika “officialwp”.
Na taj način, hakeri mogu uživati u stalnom pristupu stranicama i izvršavati maliciozne radnje, dok istovremeno efektivno blokiraju druge administratore. To može varirati od krađe podataka do ubrizgavanja koda koji može posluživati maliciozni softver posjetiteljima stranice ili ih preusmjeravati na druge prevarantske stranice.
„Napadači dobijaju puni administratorski pristup i trajna backdoor vrata, što im omogućava da rade bilo šta na stranici, od instaliranja još maliciozni softvera do njegovog uništavanja“, rekao je Srivastava. „Funkcije daljinskog izvršavanja naredbi i ubrizgavanja sadržaja znače da napadači mogu promijeniti ponašanje malicioznog softvera.“
Kako bi se ublažile ove prijetnje, neophodno je da vlasnici web stranica periodično ažuriraju WordPress, teme i dodatke, osiguraju račune pomoću dvofaktorske autentifikacije i redovno revidiraju sve dijelove web stranice, uključujući datoteke tema i dodataka.
Izvor:The Hacker News
