admin Sucuri tarafından geçen hafta yayımlanan bir rapora nazaran, hackerlar aktüel olmayan bir WordPress eklentisini sitelere saklı art kapılar yerleştirmek için kullanmaya başladı.
Bahsi geçen eklenti, “flashpixx” isimli geliştirici tarafından çıkarılan Eval PHP. Bu eklenti, kullanıcıların WordPress sitelerindeki sayfa ve gönderilere PHP kodu eklemelerine imkan sağlıyor ve kullanıcılar gezinirken sunucuda istenilen kodun çalışmasına yarıyor. Saldırganlar da ele geçirdikleri WordPress sitelerde çeşitli güvenlik tedbirlerini aşmak ve art kapılar bırakmak için bu eklentiden yararlandılar.
11 yıldır güncelleme almayan Eval PHP, 8.000’den fazla web sitesinde yüklü. Eylül 2022’den itibaren indirme sayısı ortalama bir yahut iki iken, 30 Mart 2023’te 6.988’e çıktı. Yalnızca 23 Nisan 2023’te 2.140 kere indirildi ve son yedi günde 23.110 indirme sayısına ulaştı.
GoDaddy’nin alt şirketlerinden ve siber güvenlik alanında yaptığı çalışmalarla bilinen Sucuri, ele geçirilmiş kimi sitelerde makûs gayeli kodun veritabanındaki “wp_posts” tablosuna eklendiğini tespit etti. Bu tablo, tipik bir WordPress sitesinin gönderi, sayfa ve gezinme menüsü bilgilerini içeriyor. Gelen taarruz istekleri ise Rusya’daki üç farklı IP adresinden kaynaklanıyor. Güvenlik araştırmacısı Ben Martin, kodun çok kolay ve çalışma mantığının file_put_contents işlevini kullanarak sitenin kök dizininde bir PHP belgesi oluşturması biçiminde gerçekleştiğini belirtti.
Sucuri, son 6 ayda 6.000’den fazla art kapı örneği buldu ve ziyanlı yazılımın veritabanına direkt yerleştirilmesini “yeni ve farklı bir gelişme” olarak nitelendirdi.
