Los actores de amenazas están instalando el complemento de PHP descontinuado Eval en sitios de WordPress comprometidos y lo están utilizando para inyectar código PHP malicioso en páginas web, advirtió la firma de seguridad de WordPress Sucuri.
Eval PHP es un complemento antiguo que no se ha actualizado en más de una década y permite inyectar código PHP en páginas y publicaciones. El código se ejecuta cada vez que la página o publicación insertada se abre en un navegador.
A pesar de su antigüedad, el complemento Eval PHP todavía está disponible a través del repositorio de WordPress, y su uso se disparó a finales de marzo de 2023, pasando de unas 40 instalaciones a más de 100 000 en cuestión de semanas, informa Sucuri.
Este pico, explica la firma de seguridad, está vinculado a una campaña maliciosa en la que los atacantes usan el complemento para infectar sitios web comprometidos. Eval PHP permite a los atacantes colocar el código malicioso en varias publicaciones, que se guardan como borradores y permanecen ocultas.
La puerta trasera de PHP, explica Sucuri, puede ocultar las solicitudes como cookies, lo que les permite pasar desapercibidas.
“En todos los casos, los atacantes pudieron iniciar sesión con éxito en el administrador de WordPress. Y las páginas maliciosas se crean con el administrador del sitio real como autor. Sin embargo, encontramos usuarios administradores maliciosos con nombres aleatorios y correos electrónicos de Outlook.com en algunos de los sitios web comprometidos”, explica Sucuri.
El código eliminado “usa la función file_put_contents para crear un script PHP en el docroot del sitio web con la puerta trasera de ejecución remota de código especificada. Todo lo que el atacante tiene que hacer es visitar cualquiera de las publicaciones o páginas infectadas y la puerta trasera se inyectará en la estructura del archivo”.
Al utilizar este enfoque, en lugar de eliminar las puertas traseras PHP tradicionales, los atacantes pueden volver a infectar un sitio web comprometido si es necesario, mientras permanecen ocultos: todo lo que tienen que hacer es visitar la página de un sitio web.
El problema que ha destacado esta campaña, señala Sucuri, es la necesidad de reevaluar los complementos antiguos que han sido abandonados y representan un riesgo para la seguridad.
“Mantener dichos complementos en el repositorio oficial facilita que los piratas informáticos permanezcan ocultos, ya que pueden instalar un complemento legítimo y sin modificar de una fuente confiable, en lugar de instalar complementos falsos o modificar complementos existentes que pueden ser detectados por escáneres que monitorean la integridad de los complementos conocidos”, señala Sucuri.
Relacionado: Vulnerabilidad en el complemento Elementor Pro explotada para hackear sitios web de WordPress
Relacionado: Vulnerabilidad en tema inmobiliario popular explotada para hackear sitios web de WordPress
Relacionado: Vulnerabilidad crítica en el complemento de WordPress de tarjeta de regalo premium, explotada en ataques