Des chercheurs ont découvert une exploitation active du Plugin WordPress Eval PHP pour déployer des portes dérobées sur des sites web cibles. Le plugin étant resté abandonné pendant un certain temps, il est devenu trivial pour les acteurs de la menace d'abuser de ses vulnérabilités inhérentes.
Utilisation abusive du plugin WordPress Eval PHP pour créer des portes dérobées
Un article récent de Sucuri décrit une campagne malveillante qui exploite activement le plugin PHP Eval pour installer des portes dérobées.
Comme expliqué (et comme le montre la page officielle du plugin), Eval PHP a reçu sa dernière mise à jour majeure il y a 11 ans. Le plugin semblait aider les administrateurs de WordPress à ajouter des codes PHP à un article ou à un blog, à désactiver les messages d'erreur PHP et à réaliser d'autres fonctionnalités connexes. Avec le temps, le plugin a cessé de recevoir des mises à jour de la part de son développeur, et est finalement resté un plugin abandonné dans le dépôt WordPress.
Cependant, bien qu'il soit resté inactif pendant une décennie, Sucuri a observé un pic soudain dans son nombre d'installations en avril 2023. Ils ont donc creusé plus profondément, pour finalement dévoiler la campagne malveillante exploitant le plugin.
En bref, les chercheurs ont remarqué que les acteurs de la menace utilisent le plugin PHP Eval pour infecter les sites web avec des portes dérobées. Pour ce faire, ils commencent par installer sournoisement le plugin vulnérable sur un site web cible. Cette étape reste facile étant donné que le plugin est disponible sur le dépôt officiel des plugins WordPress.
Ce calendrier correspond aux observations des chercheurs concernant une campagne malveillante en cours qui compromet les sites web avec des portes dérobées.
Comme l'explique Sucuri, les attaquants ont essayé de créer des brouillons de messages sur les sites web cibles afin d'exécuter des portes dérobées PHP malveillantes. Dans certains cas, les attaquants ont même créé des brouillons avec des comptes d'administrateur.
Vérifier la présence de PHP Eval sur les sites web
Selon les chercheurs, le moyen le plus efficace pour les administrateurs de WordPress de détecter une compromission sur leurs sites web est de rechercher la présence d'Eval PHP, surtout s'ils n'ont pas installé ce plugin eux-mêmes. La présence de ce plugin sur un site web indique clairement un état compromis, avec la présence potentielle de portes dérobées.
Sucuri recommande également de sécuriser les comptes d'administration avec 2FA, de maintenir le site à jour avec les derniers correctifs et d'utiliser un WAF robuste pour éviter toute exploitation malveillante.
Faites-nous part de vos impressions dans les commentaires.
