bug-in-wordpress-plugin-can-let-hackers-5e4bf475ab8a310001fbc023-1-feb-20-2020-14-13-43-poster.jpg

Un groupe de pirates informatiques a tenté de détourner près d’un million de sites WordPress au cours des sept derniers jours, selon une alerte de sécurité émise aujourd’hui par la société de cybersécurité Wordfence.

La société affirme que depuis le 28 avril, ce groupe de pirates informatiques s’est engagé dans une campagne de piratage massive qui a provoqué une augmentation de 30 fois du volume de trafic d’attaque suivi par Wordfence.

« Bien que nos dossiers montrent que cet acteur de la menace a peut-être envoyé un plus petit volume d’attaques dans le passé, ce n’est qu’au cours des derniers jours qu’elles se sont vraiment intensifiées », a déclaré Ram Gall, ingénieur QA chez Wordfence.

Gall dit que le groupe a lancé des attaques à partir de plus de 24 000 adresses IP distinctes et a tenté de pénétrer dans plus de 900 000 sites WordPress.

Les attaques ont culminé le dimanche 3 mai, lorsque le groupe a lancé plus de 20 millions de tentatives d’exploitation contre un demi-million de domaines.

Gall affirme que le groupe a principalement exploité les vulnérabilités XSS (cross-site scripting) pour planter du code JavaScript malveillant sur des sites Web, afin de rediriger le trafic entrant vers des sites malveillants.

Le code malveillant a également analysé les visiteurs entrants à la recherche d’administrateurs connectés, puis a tenté d’automatiser la création de comptes de porte dérobée via les utilisateurs administrateurs sans méfiance.

Wordfence dit que les pirates ont utilisé un large spectre de vulnérabilités pour leurs attaques. Les différentes techniques observées au cours de la dernière semaine sont détaillées ci-dessous:

  1. Une vulnérabilité XSS dans le plugin Easy2Map, qui a été supprimé du référentiel de plugins WordPress en août 2019. Wordfence affirme que les tentatives d’exploitation de cette vulnérabilité ont représenté plus de la moitié des attaques, malgré l’installation du plugin sur moins de 3 000 sites WordPress.
  2. Une vulnérabilité XSS dans Blog Designer qui a été corrigée en 2019. Wordfence dit que ce plugin est à peu près utilisé par 1 000, et que cette vulnérabilité a également été la cible d’autres campagnes.
  3. Une vulnérabilité de mise à jour des options dans WP GDPR Compliance a été corrigée fin 2018, ce qui permettrait aux attaquants de modifier l’URL d’accueil du site en plus d’autres options. Bien que ce plugin compte plus de 100 000 installations, Wordfence estime qu’il ne reste plus que 5 000 installations vulnérables.
  4. Une vulnérabilité de mise à jour des options dans les dons totaux qui permettrait aux attaquants de modifier l’URL d’accueil du site. Ce plugin a été supprimé définitivement du marché Envato début 2019, mais Wordfence indique qu’il reste moins de 1 000 installations totales.
  5. Une vulnérabilité XSS dans le thème du journal qui a été corrigé en 2016. Cette vulnérabilité a également été ciblée dans le passé.

Cependant, Wordfence prévient également que l’acteur de la menace est suffisamment sophistiqué pour développer de nouveaux exploits et qu’il est susceptible de basculer vers d’autres vulnérabilités à l’avenir.

Les propriétaires de sites Web WordPress sont invités à mettre à jour les thèmes et les plugins qu’ils ont installés sur leurs sites et, éventuellement, à installer un plugin de pare-feu d’application de site Web (WAF) pour bloquer les attaques, si elles peuvent être ciblées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.