Posté le septembre 2, 2020 à 18:13
LES HACKERS EXPLOITENT PLUS D’UN DEMI-MILLION DE SITES WORDPRESS
Les hackers profitent actuellement de la vulnérabilité de WordPress, la populaire plateforme de blogs. Les chercheurs ont déclaré que les hackers peuvent y parvenir en utilisant des commandes spécifiques et des logiciels malveillants sur les sites web avec l’outil Gestionnaire de fichiers.
Le gestionnaire de fichiers est un plugin de WordPress qui compte plus de 700 000 installations actives. L’attaque a été connue plusieurs heures après que la populaire plateforme de blogs ait découvert et corrigé la vulnérabilité.
Les hackers utilisent cette vulnérabilité pour télécharger des fichiers avec des shells web sur les fichiers du plugin Gestionnaire de fichiers. Les shells web sont généralement cachés dans des images. Comme il existe une restriction qui empêche les hackers d’utiliser ces mêmes fichiers malveillants sur des répertoires externes, ils peuvent causer des dommages accrus en téléchargeant des scripts malveillants similaires qui peuvent faire certaines choses nuisibles sur d’autres sites web vulnérables.
Une société de sécurité basée à Bangkok, appelée NinTechNet, est l’un des établissements qui a vu et signalé les attaques. Ils ont signalé qu’un hacker avait profité d’une vulnérabilité pour transférer un script spécifique (hardfork.php) dans le programme et utiliser ce même script pour injecter du code dans des scripts WordPress spécifiques tels que /wp-includes/user.php et /wp-admin/admin-ajax.php.
Près d’un demi-million de tentatives d’installation de porte dérobée ont été évitées
Une société de sécurité appelée Wordfence, qui connaît bien le processus, a indiqué qu’elle avait arrêté plus de 450 000 tentatives de piratage en quelques jours. Les chercheurs qui travaillent pour Wordfence ont remarqué qu’il y avait une vague d’attaques qui utilisaient des comptes d’administration frauduleux générés par des criminels pour accéder à des sites web non protégés.
Ils ont signalé que les hackers tentaient un téléchargement forcé de plusieurs fichiers. La plupart du temps, les fichiers téléchargés étaient vides, ce qui semble être utilisé pour surveiller les sites web sensibles, et s’ils réussissent, ils téléchargeront des fichiers nuisibles plus tard. Il a également été signalé que les hackers ont téléchargé des fichiers tels que x.php, hardfind.php et hardfork.php.
Le rapport de Wordfence a indiqué que le plugin vulnérable pourrait permettre aux attaquants d’accéder au tableau de bord de WordPress, ce qui leur permettra de faire d’autres dégâts une fois qu’ils seront entrés dans la zone d’administration du site.
Techniquement, ils ont essayé de profiter des vulnérabilités des plugins WordPress. Cette vulnérabilité les amènera à injecter des codes JavaScript nuisibles dans des sites web dont les opérateurs ne sont pas conscients de la faille. Le code injecté redirigera les visiteurs qui se rendent sur ces sites vers des contenus en ligne potentiellement dangereux comme des pages web frauduleuses, des pop-ups nuisibles et d’autres scripts potentiellement dangereux.
En plus d’essayer de rediriger les visiteurs d’un site web, cette campagne de piratage a également pour but de télécharger plus de scripts, ce qui permettra un accès secret et malveillant par une porte dérobée. Cet accès est utilisé pour générer de faux comptes d’administration WordPress. Ces comptes admin sont ensuite utilisés pour accéder directement au compte des utilisateurs sur la plate-forme.
Le gestionnaire de fichiers est un plugin que les administrateurs WordPress utilisent pour la gestion des fichiers sur les sites web dotés du système de gestion de contenu de WordPress. Le plugin Gestionnaire de fichiers contient elFinder.
elFinder est un outil supplémentaire pour la gestion de fichiers contenu dans le plugin. Techniquement, elFinder, en tant que bibliothèque à code ouvert, fournit la principale fonctionnalité du plugin et de son interface utilisateur. Cette faille peut être attribuée à la manière dont le plugin exécutait elFinder.
Wordfence a par ailleurs indiqué qu’il pouvait remonter à l’origine de ces attaques à de multiples adresses IP provenant de diverses parties du monde. Cependant, si tous les serveurs à l’origine de la majorité des attaques ont réussi à se déconnecter, seul Rackspace parvient encore à être actif. La société de sécurité a déclaré avoir informé Rackspace de ce désagrément, mais n’a toujours pas reçu de réponse.
Recommandation
Wordfence est allé plus loin en disant que la mise à jour des plugins et des thèmes de la populaire plateforme de blogs est la bonne façon de se protéger contre de telles attaques. Expliquant l’attaque, la société a déclaré qu’il est essentiel de vérifier fréquemment les mises à jour pour s’assurer que les gens reçoivent les derniers correctifs au fur et à mesure qu’ils sont lancés.
