Cybersecurity-onderzoekers hebben een nieuwe heimelijke achterdeur ontdekt die is verborgen in de directory “mu-plugins” in WordPress-sites om permanente toegang tot bedreigingen te verlenen en hen in staat te stellen willekeurige acties uit te voeren.
Must-gebruik plug-ins (aka mu-plugins) zijn speciale plug-ins die automatisch worden geactiveerd op alle WordPress-sites in de installatie. Ze bevinden zich standaard in de directory “WP-content/mu-plugins”.
Wat hen een aantrekkelijke optie voor aanvallers maakt, is dat mu-plugins niet worden weergegeven in de standaardlijst met plug-ins op de plug-ins pagina van WP-Admin en niet kan worden uitgeschakeld, behalve door het plug-in-bestand uit de map-gebruikmap te verwijderen.
Als gevolg hiervan kan een stuk malware dat deze techniek gebruikt, het mogelijk stelt om rustig te functioneren, zonder rode vlaggen te verhogen.
In de infectie opgemerkt door webbeveiligingsbedrijf Sucuri, dient het PHP-script in de mu-plugins-directory (“wp-index.php”) als lader om een payload op de volgende fase op te halen en op te slaan in de WordPress-database binnen de tabel WP_OPTIONS onder _hdra_core.
De externe lading wordt opgehaald uit een URL die wordt verdoezeld met ROT13, een eenvoudige vervangingscijfer die een letter vervangt door de 13e letter erna (dwz a wordt n, b wordt o, c wordt P, enzovoort).
“De opgehaalde inhoud wordt vervolgens tijdelijk naar schijf geschreven en uitgevoerd,” zei beveiligingsonderzoeker Puja Srivastava. “Deze achterdeur geeft de aanvaller aanhoudende toegang tot de site en de mogelijkheid om elke PHP -code op afstand uit te voeren.
In het bijzonder injecteert het een verborgen bestandsbeheerder in de themadirectory als “prijstabel-3,php”, waardoor bedreigingsacteurs kunnen bladeren, uploaden of verwijderen. Het maakt ook een beheerdersgebruiker met de naam “OfficialWP” en downloadt vervolgens een kwaadwillende plug-in (“WP-BOT-Protect.php”) en activeert deze.
Naast het herstellen van de infectie in het geval van verwijdering, bevat de malware de mogelijkheid om de wachtwoorden van gemeenschappelijke beheerder -gebruikersnamen te wijzigen, zoals “admin”, “root” en “WPSupport”, in een standaardwachtwoord dat door de aanvaller is ingesteld. Dit strekt zich ook uit tot zijn eigen “officiĆ«le” gebruiker.
Daarbij kunnen de dreigingsacteurs genieten van aanhoudende toegang tot de sites en kwaadaardige acties uitvoeren, terwijl ze andere beheerders effectief vergrendelen. Dit kan variƫren van gegevensdiefstal tot het injecteren van code die malware kan bedienen aan sitebezoekers of deze door te leiden naar andere oplichtingssites.
“De aanvallers krijgen volledige toegang tot beheerders en een aanhoudende achterdeur, waardoor ze iets op de site kunnen doen, van het installeren van meer malware tot het beschrijven van het,” zei Srivastava. “De externe opdrachtuitvoering en functies voor inhoud injectie betekent dat de aanvallers het gedrag van de malware kunnen wijzigen.”
Om deze bedreigingen te verzachten, is het essentieel dat site-eigenaren WordPress, thema’s en plug-ins periodiek bijwerken, accounts beveiligen met behulp van tweefactor-authenticatie en regelmatig alle secties van de site controleren, inclusief thema- en plug-in-bestanden.
