Especialistas em cibersegurança da Sucuri, uma empresa de segurança na web pertencente à GoDaddy, identificaram que um plugin legítimo do WordPress, já inativo, foi sequestrado por hackers e agora está a ser usado para invadir sites.
O plugin Eval PHP, que foi projetado para permitir a inclusão de código PHP nos artigos e dados de blogs, aparentemente não era atualizado há cerca de 10 anos e teve pouquíssimos ou nenhum download registado durante a última década.
Entretanto, nas últimas semanas, o interesse no Eval PHP aumentou significativamente, chegando a mais de 100.000 downloads, com picos de até 7.000 downloads diários.
Ataque com Eval PHP
Segundo informações da Sucuri, o código malicioso “utiliza a função file_put_contents para criar um script PHP na raiz do site com o backdoor de execução remota de código específico.”
Como o backdoor utiliza $_REQUEST[id] para obter o código PHP executável, que contém os conteúdos de $_GET, $_POST e $_COOKIE, ele pode ocultar os seus parâmetros ao se passar por cookies. A técnica GET é menos detetável que POST, mas não menos perigosa, afirma a Sucuri.
Além disso, foi revelado que os backdoors são criados em várias publicações salvas como rascunhos. Dessa forma, não ficam visíveis publicamente e são mais difíceis de serem encontrados do que páginas ao vivo.
A WordPress não respondeu de imediato ao pedido de comentário do TechRadar sobre a sua política em relação a plugins abandonados. Por enquanto, a Sucuri recomenda aos utilizadores do WordPress que protejam o seu painel wp-admin e monitorem a atividade. A empresa de segurança sugere quatro medidas específicas:
- Manter o site atualizado com os últimos lançamentos de segurança
- Proteger o painel de administração com autenticação de dois fatores ou outras restrições de acesso
- Ter um serviço de backup regular do site para situações de emergência
- Utilizar um firewall de aplicação web para bloquear bots maliciosos e corrigir virtualmente vulnerabilidades conhecidas
Novidade: a aplicação do Techenet para Android já está disponível! Experimenta aqui
Outros artigos interessantes:
