Les chercheurs en sécurité d'Automattic ont récemment signalé que les auteurs de plugins et de thèmes WordPress AccessPress populaires avaient été compromis et que leurs logiciels avaient été remplacés par des versions vérolées. L'attaque semble avoir été menée avec succès en septembre de l'année dernière et n'a été rendue publique que récemment. Les utilisateurs qui ont utilisé des logiciels obtenus directement à partir du site Web d'AccessPress ont sans le savoir fourni aux attaquants un accès par porte dérobée, ce qui a entraîné un nombre inconnu de sites Web compromis. Jusqu'à présent, les logiciels du référentiel WordPress officiel ne semblent pas avoir été affectés, bien que la mesure proactive ait été prise pour les supprimer jusqu'à ce qu'une révision proactive du code puisse être effectuée.WordPress est un système de gestion de contenu (SGC ou content management system (CMS) en anglais) gratuit, libre et open source. Ce logiciel écrit en PHP repose sur une base de données MySQL et est distribué par la fondation WordPress.org. Les fonctionnalités de WordPress lui permettent de créer et gérer différents types de sites Web : site vitrine, site de vente en ligne, site applicatif, blog, portfolio, site institutionnel, site d'enseignement, etc.
Le baromètre W3Techs indique que l'utilisation du CMS WordPress continue de croître : le CMS est désormais utilisé sur 43,3 % des sites web dans le monde à la date du 24 janvier 2022.
W3Techs explore les dix premiers millions de sites Web déterminés par le service de classification Alexa d'Amazon et cherche à déterminer les technologies qu'ils exploitent. Des rapports détaillés sont vendus sur ses découvertes. Mais W3Techs propose également des données publiques sur ses résultats. Ceux-ci sont généralement proposés sous la forme d'un diagramme qui vient montrer les pourcentages de sites Web utilisant divers systèmes de gestion de contenu.
Une attaque sur les thèmes et plugins WordPress
Une attaque massive de la chaîne d'approvisionnement a compromis 93 thèmes et plugins WordPress pour contenir une porte dérobée, donnant aux acteurs de la menace un accès complet aux sites Web.
Au total, les acteurs malveillants ont compromis 40 thèmes et 53 plugins appartenant à AccessPress, un développeur de modules complémentaires WordPress utilisés dans plus de 360 000 sites Web actifs.
L'attaque a été découverte par des chercheurs de Jetpack, les créateurs d'un outil de sécurité et d'optimisation pour les sites WordPress, qui ont découvert qu'une porte dérobée PHP avait été ajoutée aux thèmes et plugins.
Jetpack pense qu'un acteur malveillant a piraté le site Web d'AccessPress pour compromettre le logiciel et infecter d'autres sites WordPress.
Qu'est-ce qu'une attaque de la chaîne d'approvisionnement ?
Plutôt que de compromettre directement les systèmes en exploitant des composants logiciels vulnérables, les attaquants peuvent à la place compromettre la source même où les administrateurs de sites Web et de réseaux obtiennent leurs logiciels. Les adeptes de la sécurité Web se souviendront peut-être de la tristement célèbre attaque SolarWinds de 2020, où des milliers d'agences et d'entreprises gouvernementales américaines ont été piratées par une telle attaque. Dans ce cas, les attaquants ont acquis un accès superutilisateur au logiciel SolarWinds Orion, qui est utilisé par de nombreuses agences de haut niveau pour administrer les mises à jour du réseau et des logiciels. Une fois que la source du logiciel est compromise, tout administrateur de réseau ou de site Web qui installe le logiciel ou les mises à jour à partir de la source compromise compromet sans le savoir son propre système.
Une porte dérobée pour un contrôle total
Dès que les administrateurs ont installé un produit AccessPress compromis sur leur site, les acteurs ont ajouté un nouveau fichier "initial.php" dans le répertoire principal du thème et l'ont inclus dans le fichier principal "functions.php". Ce fichier contenait une charge utile encodée en base64 qui écrit un webshell dans le fichier « ./wp-includes/vars.php ».
Le code malveillant a terminé l'installation de la porte dérobée en décodant la charge utile et en l'injectant dans le fichier "vars.php", donnant essentiellement aux acteurs de la menace le contrôle à distance du site infecté.
La seule façon de détecter cette menace est d'utiliser une solution de surveillance de l'intégrité des fichiers de base, car le logiciel malveillant supprime le dropper de fichiers "initial.php" pour couvrir ses traces.
Selon les chercheurs de Sucuri qui ont enquêté sur l'affaire pour déterminer l'objectif des acteurs, les acteurs malveillants ont utilisé la porte dérobée pour rediriger les visiteurs vers des sites de diffusion de logiciels malveillants et d'escroquerie. Par conséquent, la campagne n'était pas très sophistiquée.
Il est également possible qu'ils aient utilisé ce malware pour vendre l'accès à des sites Web dérobés sur le dark web, ce qui serait un moyen efficace de monétiser une telle infection à grande échelle.
Analyse
Les extensions infectées contenaient un dropper pour un webshell qui donne aux attaquants un accès complet aux sites infectés. Le dropper est situé dans le fichier inital.php situé dans le répertoire principal du plugin ou du thème. Lorsqu'il est exécuté, il installe un webshell basé sur des cookies dans wp-includes/vars.php. Le shell est installé en tant que fonction juste devant la fonction wp_is_mobile() avec le nom de wp_is_mobile_fix(). C'est probablement pour ne pas éveiller les soupçons de quiconque faisant défiler le fichier vars.php avec désinvolture....
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
