Experti v oblasti kybernetické bezpečnosti odhalili nová skrytá zadní vrátka ukrytá v adresáři „mu-plugins“ na WordPress stránkách, která umožňují útočníkům trvalý přístup a umožňují jim provádět libovolné akce.

Must-use pluginy (známé také jako mu-plugins) jsou speciální pluginy, které jsou automaticky aktivovány na všech WordPress stránkách v instalaci. Jsou umístěny ve výchozím nastavení v adresáři „wp-content/mu-plugins“.

Co je činí atraktivní možností pro útočníky je fakt, že mu-plugins se nezobrazují ve výchozím seznamu pluginů na stránce Plugins v wp-admin a nemohou být deaktivovány, pokud není odstraněn soubor pluginu z adresáře must-use.

V důsledku toho může malware, který využívá tuto techniku, fungovat tiše, aniž by zvedl jakékoli varovné signály.

Při infekci zaznamenané webovou bezpečnostní společností Sucuri, PHP skript v adresáři mu-plugins („wp-index.php“) slouží jako loader pro načtení dalšího nákladu a jeho uložení v databázi WordPress v tabulce wp_options pod _hdra_core.

Vzdálený náklad je získáván z URL, která je zamaskována pomocí ROT13, jednoduché substituční šifry, která nahrazuje písmeno 13. písmenem za ním (např. A se stává N, B se stává O, C se stává P atd.).

„Načtený obsah je pak dočasně zapsán na disk a spuštěn,“ řekla bezpečnostní expertka Puja Srivastava. „Tato zadní vrátka dávají útočníkovi trvalý přístup k webu a možnost spouštět jakýkoli PHP kód vzdáleně.“

Konkrétně vkládá skrytý file manager do adresáře s tématy jako „pricing-table-3.php“, což umožňuje útočníkům prohlížet, nahrávat nebo mazat soubory. Rovněž vytváří administrátorského uživatele s názvem „officialwp“ a následně stahuje a aktivuje škodlivý plugin („wp-bot-protect.php“).

Zdroj: The Hacker News