Posté le avril 11, 2019 à 21:47
PIRATÉ! LE MAILGUN DE WORDPRESS EST ATTAQUÉ PAR LES HACKERS.
Les utilisateurs se retrouvent dirigés vers des sites web malveillants lorsqu’ils visitent le site Mailgun de WordPress.
Mailgun est un site populaire offrant un service d’automatisation et de distribution du courrier électronique. Malheureusement, des malfaiteurs en ligne se sont infiltrés dans le site hier 10 avril 2019. Nous pouvons rappeler que de nombreux sites WordPress sont tombés sous l’attaque de ces hackers. À l’heure actuelle, tous les sites utilisant la plateforme WordPress sont attaqués.
En ce qui concerne la façon dont les hackers pénètrent dans les sites, les chercheurs ont découvert qu’ils exploitaient une vulnérabilité de WordPress. Un plugin WordPress appelé Yuzo Related Posts présente une vulnérabilité. Ce plugin contient un cross-site scripting ou un XSS comme on a l’habitude de l’appeller. Les hackers accèdent aux sites Web par le biais de cette faille. Ils injectent leur code malveillant via ce plugin. Une fois que le code est là, il redirige les visiteurs qui viennent sur le site infecté vers d’autres sites malveillants.
Eh bien, s’ils redirigeaient vers des sites Web normaux, personne ne se plaindrait. Malheureusement, le code du hacker envoie les visiteurs de Mailgun sur des sites proposant différents produits frauduleux, un support technique par exemple. En outre, certains des sites qu’ils présentent aux visiteurs affichent des spam publicitaires et colportent des mises à jour logicielles contenant des programmes malveillants.
Les dernières nouvelles sur les attaques.
Le site Email Automation Mailgun n’est pas la première victime des attaques malveillantes continues. De nombreux propriétaires de site Web WordPress ont signalé le même incident et ont souligné que les hackers avaient également exploité le plugin. C’est du moins ce qu’ils ont partagé sur le forum de support de Yuzo Related Posts disponible sur WordPress.org (1,2,3). Nous avons également trouvé les mêmes rapports sur d’autres forums de discussion sur les développements Web. L’un des forums où les utilisateurs discutent de l’incident se trouve sur le forum StackOverflow.
En attendant, nous avons reçu une autre information selon laquelle l’attaque d’hier n’aurait peut-être pas fonctionné pour les hackers. Un développeur Web a découvert la vulnérabilité du plugin mais n’a pas réussi à le divulguer à l’auteur du plugin en temps voulu. Au lieu de cela, le développeur est allé en ligne pour publier une «preuve de concept». Le développeur Web n’a pas jugé bon d’informer l’auteur. On ne connaît pas ses raisons. Cependant, dès qu’il a partagé la preuve de concept, l’équipe WordPress a retiré le plugin de son archive le même jour. Pour l’instant, aucun utilisateur ne peut télécharger le plugin tant que les développeurs n’ont pas fourni de correctif.
Malheureusement, la suppression du plugin de l’archive de plugins ne l’a pas fait disparaître des autres sites Web le contenant. Par conséquent, tous les sites Web WordPress dans le monde sont toujours vulnérables aux cyberattaques. Avant que l’équipe ne supprime le plugin, près de 60 000 sites Web l’avaient déjà téléchargé. Ce chiffre est tiré des statistiques du site officiel de WordPress.
Le groupe ciblant les sites Web WordPress.
Defiant est la société en charge du plugin de pare-feu WordPress. Selon eux, un groupe de hackers est à l’origine de ces attaques sur tous les sites WordPress. Le groupe avait auparavant exploité deux plugins appelés «in the Easy WP SMTP & Social Warfare» il y a quelques semaines. Un chercheur de Defiant a déclaré que les hackers utilisaient la même adresse Internet pour effectuer ces actes de piratages.
Dans le même temps, les chercheurs de Sucuri ont également établi un lien entre les deux attaques. Cependant, Mailgun n’a fait aucune déclaration à propos des attaques à ce jour. La première chose qu’ils firent fut de retirer le plugin et de continuer leurs opérations. Il ne leur a fallu que deux heures après la détection du problème pour le supprimer de leur archive.
Dans leur rapport de situation, WordPress a assuré aux clients que tous leurs produits sont intacts. Selon le rapport, les données des clients, le tableau de bord Mailgun et les APIs sur leur plateforme sont toujours en sécurité.
