Une campagne massive cible 900 000 sites WordPress en une semaine

Une campagne massive cible 900 000 sites WordPress en une semaine

Les pirates ont lancé une attaque massive contre plus de 900000 sites WordPress cherchant à rediriger les visiteurs vers des sites malveillants ou à planter une porte dérobée si un administrateur est connecté.

Sur la base de la charge utile, les attaques semblent être l’œuvre d’un seul acteur de la menace, qui a utilisé au moins 24 000 adresses IP‌ au cours du mois dernier pour envoyer des demandes malveillantes à plus de 900 000 sites.

XSS, malvertising, porte dérobée

Les tentatives de compromis ont augmenté après le 28 avril. La société de sécurité WordPress Defiant, fabricant du plugin de sécurité Wordfence, a détecté le 3 mai plus de 20 millions d’attaques contre plus d’un demi-million de sites Web.

Ram Gall, QA senior chez Defiant, a déclaré que les attaquants se concentraient principalement sur l’exploitation des vulnérabilités de cross-site scripting (XSS) dans les plugins qui avaient reçu un correctif il y a des mois ou des années et avaient été ciblés dans d’autres attaques.

Rediriger les visiteurs vers la publicité malveillante est l’un des effets d’un compromis réussi. Si le JavaScript est exécuté par le navigateur d’un administrateur connecté, le code essaie d’injecter une porte dérobée PHP dans le fichier d’en-tête du thème avec un autre JavaScript.

La porte dérobée récupère ensuite une autre charge utile et la stocke dans l’en-tête du thème pour tenter de l’exécuter. « Cette méthode permettrait à l’attaquant de garder le contrôle du site », explique Gall.

De cette façon, l’attaquant pourrait passer à une autre charge utile qui pourrait être une webshell, un code qui crée un administrateur malveillant ou pour supprimer le contenu de l’ensemble du site. Dans le rapport publié aujourd’hui, Defiant a inclus des indicateurs de compromis pour la charge utile finale.

Anciennes vulnérabilités ciblées

De multiples vulnérabilités ont été détectées mais les suivantes sont les plus ciblées, explique Gall. Notez que les plugins vulnérables ont été supprimés des référentiels officiels ou ont reçu un correctif l’année dernière ou avant.

  1. Une vulnérabilité XSS dans le   plugin Easy2Map , qui a été supprimée du référentiel de plugins WordPress en août 2019, et qui, selon nous, est probablement installée sur moins de 3000 sites. Cela représentait plus de la moitié de toutes les attaques.
  2. Une vulnérabilité XSS dans  Blog Designer  qui a été corrigée en 2019. Nous estimons qu’il ne reste plus que 1 000 installations vulnérables, bien que cette vulnérabilité ait été la  cible  de  campagnes précédentes .
  3. Une vulnérabilité de mise à jour des options dans  WP GDPR Compliance  corrigée fin 2018 qui permettrait aux attaquants de modifier l’URL d’accueil du site  en plus  d’  autres options . Bien que ce plugin ait plus de 100 000 installations, nous estimons qu’il ne reste plus que 5 000 installations vulnérables.
  4. Une vulnérabilité de mise à jour des options dans  Total Donations  qui permettrait aux attaquants de modifier l’URL du site. Ce plugin a été supprimé définitivement du marché Envato au début de 2019, et nous estimons qu’il reste moins de 1000 installations au total.
  5. Une vulnérabilité XSS dans le thème Newspaper qui a été corrigée en 2016. Cette vulnérabilité a également été  ciblée dans le passé .

Les administrateurs de sites WordPress doivent mettre à jour leurs plugins et supprimer ceux qui ne sont plus dans le référentiel WordPress.

Laisser un commentaire