Sucuriは4月19日(米国時間)、「Massive Abuse of an Abandoned Eval PHP WordPress Plugin」において、「Eval PHP」と呼ばれる非常に古いWordPressプラグインが脅威者に悪用されているとして、注意を呼び掛けた。このプラグインの欠陥を悪し、PHPで設計されたバックドアを侵害されたWebサイトに挿入されていることが明らかとなった。

  • Massive Abuse of an Abandoned Eval PHP WordPress Plugin

    Massive Abuse of an Abandoned Eval PHP WordPress Plugin

悪意のあるコードはwp_postsテーブル内にあるとされ、file_put_contents関数を使用して指定されたリモートコードを実行するバックドアを備えたPHPスクリプトを作成するよう設計されている。このコードにより、攻撃者が感染したページのいずれかにアクセスするだけで、バックドアを注入できるようになるという。

  • This code is quite simple

    This code is quite simple

コードサンプル内にあるWordPressショートコード[evalphp]は、WordPress公式リポジトリで公開されているEval PHPプラグインに関連しているとみられている。10年以上更新されていないこのプラグインは、これまで長らくインストールされてこなかったが、2023年4月ごろかダウンロード数が急上昇したことが確認されている。

  • Eval PHP;Downloads per day Eval

    Eval PHP;Downloads per day Eval

  • Eval PHP downloads history for April 18、2023

    Eval PHP downloads history for April 18, 2023

Sucuriは、この調査結果から2023年3月末から一部の攻撃者が侵害されたサイトにEval PHPプラグインをインストールし、バックドアの作成を始めたと分析している。また、WordPress公式リポジトリには、Eval PHP以外にも長年更新されていないプラグインが数多くあると指摘している。脅威者が信頼できるソースから更新されていないプラグインを使用し、サイバー攻撃を行っていると警告している。