Posté le mai 15, 2022 à 9:42
DES CHERCHEURS DÉCOUVRENT UNE VULNÉRABILITÉ CONNUE DANS UN PLUGIN WORDPRESS ET EXPLOITÉE PAR DES HACKERS
Des chercheurs de Sucuri, la société de sécurité de GoDaddy, ont révélé que des milliers de sites Web ont été piratés au cours des derniers mois en raison de vulnérabilités connues.
Selon les chercheurs, les acteurs malveillants à l’origine de cette campagne ont injecté des scripts malveillants dans des thèmes et des plugins WordPress, en exploitant des failles de sécurité connues à l’époque.
Les activités de piratage sont liées aux plugins et aux thèmes créés par des milliers de développeurs tiers qui utilisent le logiciel open-source WordPress au lieu de WordPress.com. La société mère de WordPress.com, Automatic, est le distributeur du logiciel, mais elle n’en est pas propriétaire.
Des milliers de sites pourraient être affectés
Sucuri a noté qu’il y a 322 sites WordPress avec des thèmes et des plugins qui ont été affectés par le piratage. Toutefois, le nombre réel d’autres sites Web touchés par l’exploit pourrait être beaucoup plus élevé. Le mois dernier, des acteurs de menaces ont utilisé cette méthode pour infiltrer 6 000 sites, selon Krasimir Kon, analyste des logiciels malveillants chez Sucuri. Cela signifie qu’il pourrait y avoir plus de sites touchés depuis que la campagne a commencé il y a plusieurs mois.
Sucuri a déclaré avoir découvert l’exploit du hacker en début de semaine au moment où elle enquêtait sur des sites WordPress qui signalaient des redirections indésirables. La société de sécurité a noté que tous les sites Web présentaient un même problème, car ils avaient tous un JavaScript malveillant caché dans leurs bases de données et leurs fichiers.
Le JavaScript redirige les utilisateurs vers plusieurs applications empoisonnées, notamment par des logiciels malveillants et des pages de phishing. Et dans de nombreux cas, les visiteurs n’ont pas la moindre idée qu’ils sont redirigés vers une page infestée de logiciels malveillants, car la page de destination de la redirection semble authentique. Cela rend l’exploit très dangereux, car les utilisateurs peuvent transmettre des informations vitales sans savoir qu’ils les envoient aux mauvaises personnes. En outre, le logiciel malveillant peut être implanté dans le système de l’utilisateur et rester caché pendant longtemps, tout en volant des informations importantes.
« Cette page incite les utilisateurs peu méfiants à s’abonner aux notifications push du site malveillant », ajoute M. Konov.
Lorsque les utilisateurs suivent la directive en cliquant sur le CAPTCHA, ils sont automatiquement inscrits dans une liste d’inclusion pour plusieurs publicités indésirables. Les publicités auront l’air de provenir du système d’exploitation et non du navigateur, de sorte qu’elles auront l’air de provenir d’une entreprise authentique.
Les hackers peuvent réaliser des arnaques au support technique
M. Konov a également noté que les manœuvres d’opt-in pour les notifications push sont l’une des façons dont les acteurs de la menace peuvent mener des arnaques au support technique. Dans la plupart des cas, les utilisateurs concernés continuent de recevoir des fenêtres pop-up ennuyeuses pour les informer que leur ordinateur est compromis. Un numéro est généralement fourni pour que l’utilisateur puisse appeler et recevoir des instructions pour résoudre le problème. C’est là qu’ils trouvent des victimes crédules. Une fois le contact établi, les utilisateurs peuvent être exploités davantage.
La Federal Trade Commission a fourni quelques points utiles pour aider les utilisateurs à éviter ce type d’arnaque. La commission a indiqué que les utilisateurs devaient considérer ces messages comme provenant d’escrocs et de hackers. Elle a noté qu’une véritable entreprise de sécurité n’utilisera pas une telle approche pour contacter un utilisateur dont le système est infecté. Les véritables messages de sécurité ne demandent pas aux utilisateurs d’appeler un certain numéro pour résoudre leurs problèmes, a déclaré la commission.
WordPress.com a déclaré que les thèmes et les plugins ne sont pas maintenus ou écrits dans le logiciel de base de WordPress. D’après le rapport de Sucuri, tout thème ou plugin hébergé sur le site WordPress.org est généralement analysé pour détecter les failles.
La vulnérabilité provient d’outils tiers
Le rapport indique également qu’une fois les problèmes de sécurité découverts, les auteurs de thèmes et de plugins en sont immédiatement informés afin d’éviter tout impact supplémentaire. Si aucune réponse n’a été reçu de l’auteur ou si un thème n’est pas corrigé à temps, il est retiré de WordPress ou complètement fermé du portail. WordPress.org apporte également son aide en proposant des outils et des ressources sur la sécurité, tant pour les développeurs de plugins que pour les développeurs de thèmes.
Selon un porte-parole de l’entreprise, les utilisateurs de WordPress sont informés et encouragés à mettre à jour les logiciels, thèmes et plugins importants, en particulier pour les sites auto-hébergés.
WordPress propose également différents services de sécurité aux sites hébergés sur la plateforme WordPress.com. Ces services de conseil en sécurité permettent à l’entreprise de remédier aux vulnérabilités comme celles mentionnées dans le rapport. Mais malgré les efforts déployés par l’entreprise pour assurer la sécurité de la plateforme, celle-ci souffre encore de quelques failles de sécurité dans certains cas.
La raison en est que la plupart des plugins et des thèmes hébergés sur la plateforme sont gérés indépendamment par des tiers. Par conséquent, les exploits sur WordPress proviennent généralement de thèmes ou de plugins vulnérables de ces tiers.
