De nouvelles vulnérabilités dans Wordpress ont permis aux pirates informatiques de lancer une campagne d'attaques massives contre plus de 900 000 sites WordPress. Les auteurs des attaques chercheraient à rediriger les visiteurs vers des sites malveillants ou à installer une porte dérobée si un administrateur est connecté, d'après un rapport publié mardi par la société de sécurité WordPress Defiant. Selon Defiant, son équipe de renseignements sur les menaces avait détecté, au cours du mois dernier, au total plus de 24 000 adresses IP distinctes envoyant des requêtes correspondant à ces attaques.D'après la charge utile, la majorité de ces attaques semblent être causées par un seul attaquant. C'est à partir du 28 avril 2020 que l'équipe de Defiant a observé une augmentation soudaine des attaques ciblant les vulnérabilités Cross-Site Scripting (XSS). Ces attaques ont continué à prendre de l'ampleur au cours des jours suivants pour atteindre plus de 20 millions d'attaques contre plus d'un demi-million de sites Web.
Les vulnérabilités XSS essentiellement exploitées
Dans son rapport, Ram Gall, responsable de l'assurance qualité chez Defiant, a déclaré que les attaquants se sont surtout concentrés sur l'exploitation des vulnérabilités XSS dans des plugins qui ont reçu une correction il y a des mois ou des années et qui avaient été visés par d'autres attaques. Cependant, après une enquête plus approfondie, Defiant a découvert que cet acteur de la menace s'attaquait également à d'autres vulnérabilités, principalement des vulnérabilités plus anciennes permettant de modifier l'URL d'origine d'un site vers le même domaine que celui utilisé dans la charge utile XSS afin de rediriger les visiteurs vers des sites malveillants.
Selon le rapport du fabricant du plugin de sécurité Wordfence, la majorité de ces attaques tentent d'insérer un JavaScript malveillant situé à l'adresse count[.]trackstatisticss[.]com/stm dans un site Web dans l'espoir qu'il sera exécuté par le navigateur d'un administrateur. Dans certains cas, ces tentatives incluent l'URL du script malveillant, tandis que dans d'autres, elles s'appuient sur String.fromCharCode pour masquer l'emplacement du script injecté. Selon Defiant, les premières itérations de ces attaques semblent avoir utilisé ws[.]stivenfernando[.]com/stm comme charge utile malveillante.
Si le JavaScript injecté est exécuté par le navigateur d'un administrateur qui est connecté, le code tente d'injecter une porte dérobée PHP dans le fichier d'en-tête du thème avec un autre JavaScript. La porte dérobée reçoit alors une autre charge utile et la stocke dans l'en-tête du thème pour tenter de l'exécuter à nouveau. « Cette méthode permettrait à l'attaquant de garder le contrôle du site », a expliqué Gall. « Si la cible n'est pas connectée, et n'est pas sur la page de connexion, le script est redirigé vers une URL malveillante », a-t-il ajouté.
Le script de vérification si la victime a des cookies de connexion WordPress
De cette façon, l'attaquant pourrait passer à une autre charge utile qui pourrait être un Webshell, un code qui crée un administrateur malveillant ou pour supprimer le contenu du site entier. Defiant a inclus, dans son rapport, des indicateurs de compromis pour la charge utile finale.
Une version désobscurcies de la porte dérobée PHP
D'anciennes vulnérabilités ciblées par la campagne d'attaques
De nombreuses vulnérabilités ciblées avaient déjà été exploitées lors des campagnes précédentes. Voici les plus populaires énumérées par Defiant :
1- Une vulnérabilité XSS dans le plugin Easy2Map, qui a été retirée du dépôt de plugins WordPress en août 2019, et dont nous estimons qu'elle est probablement installée sur moins de 3 000 sites. Cela représente plus de la moitié de toutes les attaques.
2- Une vulnérabilité XSS dans Blog Designer qui a été corrigée en 2019. Nous estimons qu'il ne reste pas plus de 1 000 installations vulnérables, bien que cette vulnérabilité ait été la cible de campagnes précédentes.
3- Une vulnérabilité de mise à jour des options dans WP GDPR Compliance, patchée fin 2018, qui permettrait aux attaquants de modifier l'URL d'origine du site en plus d'autres options. Bien que ce plugin compte plus de 100 000 installations, nous estimons qu'il ne reste plus que 5 000 installations vulnérables.
4- Une option de mise à jour de la vulnérabilité dans Total Donations qui permettrait aux attaquants de changer l'URL d'origine du site. Ce plugin a été supprimé définitivement du marché Envato au début de 2019, et nous estimons qu'il reste moins de 1 000 installations au total.
5- Une vulnérabilité XSS dans le thème des journaux qui a été corrigée en 2016. Cette vulnérabilité a également été ciblée dans le passé.
En 2016, un rapport de Sucuri, une plateforme de sécurité et de protection de site Web, concluait que WordPress était de loin le CMS le plus ciblé par les cyberattaques en grande partie en raison du mauvais entretien et la négligence des webmasters. Pas plus tard qu'en février dernier, un rapport de la société de sécurité WordPress WebARX indiquait que les anciennes versions de ThemeGrill Demo Importer, encore installé sur plus de 200 000 sites Web, contenaient une vulnérabilité qui permettrait à un pirate de cibler des sites Web bien particuliers et déclencher un comportement inattendu de ces derniers par l’intermédiaire d’un plugin. ThemeGrill Demo Importer est un plugin livré avec des thèmes vendus par ThemeGrill, une entreprise de développement Web qui commercialise des thèmes WordPress.
Un peu plus tôt en janvier, les chercheurs de l'entreprise WebARX, spécialisée en cybersécurité, ont découvert de graves vulnérabilités qui pouvaient permettre d'accéder à un compte administrateur dans trois plugins WordPress à savoir InfiniteWP Client, WP Time Capsule et WP Database Reset. Ces plugins sont utilisés sur plus de 400 000 sites Web, d'après les chercheurs.
Etant donné que les plugins vulnérables ont soit été retirés des dépôts officiels, soit ont reçu un patch l'année dernière ou avant, les administrateurs de sites WordPress devraient mettre à jour leurs plugins et supprimer ceux qui ne sont plus dans le dépôt WordPress.
Source : Defiant
Et vous ?
Que pensez-vous de ces attaques massives qui cibles les vulnérabilités dans Wordpress ? Selon vous, pourquoi ces attaques ont lieu alors que les plugins vulnérables ont soit été retirés des dépôts officiels, soit ont reçu un correctif ?Lire aussi
Des chercheurs découvrent des failles critiques dans trois plugins WordPress utilisés sur plus de 400 000 sites Web, permettant d'accéder à un compte administrateur, des correctifs sont disponibles Une vulnérabilité critique dans un plugin WordPress met 200 000 sites Web en danger, car à tout moment ils peuvent être effacés ou détourner à distance par un attaquant Des milliers de sites WordPress infectés redirigent les visiteurs vers des pages d'escroquerie au faux support technique WordPress : le nombre de vulnérabilités a triplé en 2018, une étude pointe du doigt les plugins comme la principale source des failles du CMS 
), tout simplement.
