Questi plugin possiedono funzionalità backdoor che si nascondono anche dalla dashboard per sfuggire al rilevamento
Hanno specificamente trovato alcuni falsi plugin di UpdraftPlus che infettano i siti WordPress per eseguire altre attività dannose. In particolare, i ricercatori hanno notato che i plug-in falsi con nomi initiatorseo o updrat123 imitano la funzionalità del noto plugin WP di backup / ripristino UpdraftPlus. Considerando che, i loro metadati copiano quello della versione 1.16.16 di UpdraftPlus rilasciata nel luglio di quest'anno. Gli aggressori stanno attivamente prendendo di mira i siti Web WordPress tramite questi plugin falsi. Ciò che aggiunge alla loro potenzialità e la capacità di nascondersi dalla dashboard.
Secondo i ricercatori, questi plugin falsi servono come backdoor per gli aggressori per facilitarli nell'ottenere il controllo del web server. Lo sfruttamento di questi plugin può consentire agli hacker di caricare file arbitrari sui siti Web interessati. Per questo, usano le richieste POST che includono informazioni sull'URL del percorso di download. I parametri POST sono univoci per ogni plugin e specificano anche il nome e il percorso del file per scrivere i file. Durante la loro analisi, i ricercatori hanno scoperto che gli aggressori utilizzavano la backdoor per caricare shell Web in posizioni casuali. Inoltre, hanno anche usato la backdoor per caricare file con nomi di file arbitrari nelle directory root del sito, che potevano sfruttare ulteriormente per attacchi di forza bruta su altri siti Web. I plug-in di WordPress sono stati a lungo un percorso per gli aggressori di colpire vari siti Web. Pertanto, prima di configurare un sito WordPress, è indispensabile che il proprietario familiarizzi con le possibili minacce alla sicurezza del sito e i modi per respingere tali attacchi.
-------------------------
L'originale di questo articolo è stato pubblicato su latesthackingnews.com.