Posté le janvier 24, 2022 à 9:11
LES PLUGINS ET THÈMES WORDPRESS EXPLOITÉS PAR LES HACKERS POUR ACCÉDER À DES SITES WEB LÉGITIMES
Les attaques de piratage continuent de se multiplier, les victimes se laissant prendre aux nouvelles astuces et tactiques utilisées par les hackers. Le cas le plus récent est une attaque de la chaîne d’approvisionnement qui a lancé des portes dérobées secrètes dans plusieurs thèmes et plugins pour WordPress.
Les hackers ont lancé un code malveillant dans ces fonctionnalités pour accéder aux victimes. L’incident a été détecté au cours de la première quinzaine de septembre 2021. En outre, les hackers ont fait preuve de persistance en cherchant à infecter d’autres sites.
Des hackers installent des portes dérobées sur des plugins et des thèmes WordPress
En installant ces portes dérobées, les hackers ont pris le contrôle administratif de plusieurs sites Web. Ces sites Web utilisaient 40 thèmes et 53 plugins développés par AccessPress Themes. Cette plateforme compte plus de 360 000 installations de sites Web actifs, ce qui prouve l’ampleur de la base d’utilisateurs touchés par ces attaques.
Le rapport sur ces attaques a été publié par des chercheurs en sécurité de JetPack, un développeur de suites de plugins WordPress. Le rapport publié plus tôt dans la semaine indiquait que « les extensions infectées contenaient un dropper pour un shell web qui donne aux attaquants un accès complet aux sites infectés. »
Les chercheurs ont également ajouté que « les mêmes extensions ne présentaient aucun problème si elles étaient téléchargées ou installées directement depuis le répertoire WordPress [.] org. » La vulnérabilité a reçu l’identifiant CVE-2021-24867.
Un rapport sur cette vulnérabilité a également été partagé par Sucuri, une plateforme de sécurité des sites web. Une analyse séparée de la plateforme a examiné certains des sites Web infectés utilisant cette porte dérobée. Ces sites avaient des caractéristiques similaires en commun car ils contenaient des charges utiles datant d’environ trois ans.
L’analyse pourrait montrer la possibilité que les attaquants à l’origine de l’attaque vendent l’accès à ces sites Web à d’autres attaquants lançant d’autres campagnes de spam. Ainsi, les données accessibles par les portes dérobées pourraient être utilisées à l’avenir et rendre les victimes vulnérables à de nouvelles attaques.
C’est loin d’être la première fois que des vulnérabilités sont détectées sur des sites Web WordPress. Au début du mois, un rapport de la société de cybersécurité eSentire indiquait que ces sites affiliés à des sites légitimes étaient utilisés par des acteurs malveillants pour déployer des logiciels malveillants.
En raison de la nature légitime des sites web utilisés pour déployer ces attaques, de nombreux utilisateurs sans méfiance ont été laissés vulnérables. Les utilisateurs visés sont ceux qui recherchent de la propriété intellectuelle ou des accords postnuptiaux sur les moteurs de recherche. Ces utilisateurs ont été ciblés à l’aide d’un implant connu sous le nom de GootLoader.
Les utilisateurs d’AccessPress sont invités à prendre des précautions
Les propriétaires de sites Web qui ont installé des plugins par l’intermédiaire du site Web AccessPress Themes ont été invités à mettre à jour la dernière version, qui est sûre et sans vulnérabilité. En outre, un utilisateur peut également le remplacer en utilisant la version la plus récente de WordPress [.] org.
En outre, les utilisateurs ont également été invités à utiliser une nouvelle version de WordPress. Une fois que cette nouvelle version sera déployée, elle se débarrassera des modifications apportées par les attaquants pour installer la porte dérobée.
Les attaquants ont ciblé divers plugins WordPress. Ce rapport récent intervient peu de temps après que Wordfence ait publié un rapport sur une vulnérabilité XSS (cross-site scripting) qui a depuis été corrigée.
Wordfence est la société de sécurité de WordPress, et dans un rapport récent, elle a déclaré que la vulnérabilité a été détectée dans le « WordPress Email Template Designer- WP HTML Mail ». Ce plugin est populaire parmi les utilisateurs de WordPress, et il a été installé sur plus de 20 000 sites web.
Les vulnérabilités ont été assignées à l’identifiant CVE-2022-0218. Elle a été classée 8.3 dans le système de notation des vulnérabilités CVSS. En outre, un correctif pour cette vulnérabilité sera publié dans le cadre des mises à niveau publiées le 13 janvier 2022. La dernière version qui corrigera cette vulnérabilité sera la version 3.1.
Une déclaration de Chloe Chamberland concernant cette vulnérabilité indique : « Cette faille permet à un attaquant non authentifié d’injecter un JavaScript malveillant qui s’exécute chaque fois qu’un administrateur de site accède à l’éditeur de modèles. Cette vulnérabilité leur permettait également de modifier le modèle d’email pour qu’il contienne des données arbitraires qui pouvaient être utilisées pour réaliser une attaque de phishing contre toute personne recevant des emails du site compromis. »
Un autre rapport statistique de Risk Based Security publié au début du mois a révélé le risque croissant de vulnérabilités sur les plugins WordPress. Le rapport a noté que 2240 failles de sécurité ont été détectées sur des plugins WordPress tiers. Ces failles ont été détectées vers la fin de 2021, soit une augmentation de 142 % par rapport à 2020.
En 2020, les failles de sécurité sur les plugins WordPress tiers s’élevaient à environ 1000. Au fil des années, 10 359 failles de sécurité de plugins WordPress ont été détectées, ce qui représente un chiffre inquiétant, compte tenu du nombre d’utilisateurs qui utilisent ces plugins.
