Posté le mars 2, 2020 à 7:43
PLUSIEURS PLUGINS WORDPRESS COMPROMIS PAR DES HACKERS UTILISANT DES FAILLES ZERO-DAY
WordPress est certainement la plateforme de création de sites la plus populaire. Selon les statistiques actuelles, la technologie fournit sa plate-forme de gestion de contenu à environ 35% de tous les internautes.
La technologie a toujours attiré hackers et cyber-attaquants en raison de son nombre impressionnant d’installations. C’est pourquoi les tentatives de piratage sur les sites WordPress font toujours la une des journaux.
La dernière année a été l’une des plus actives pour les hackers qui s’intéressent aux sites WordPress, car il y a eu un grand nombre d’attaques et de tentatives d’attaques.
Après le nombre élevé d’attaques sur WordPress vers la fin de l’année dernière, la nouvelle année a commencé sur une note calme pour la plate-forme de gestion de contenu.
Cependant, il semble que la célébration du charisme soit terminée pour les hackers, car ils sont revenus au service normal. En l’espace de 2 semaines, plusieurs attaques ont été signalées.
Les hackers ont refait surface, plusieurs chercheurs en sécurité ayant rapporté un nombre considérable d’attaques sur les sites WordPress. Des sociétés de sécurité comme NinTechNet, WebARX et WordFense ont toutes découvert les attaques.
Plus récemment, les rapports de ces chercheurs ont révélé que les hackers exploitent une vulnérabilité critique de type «zero-day» dans WordPress, qui risque de leur permettre de prendre le contrôle de plusieurs milliers de sites web.
Les jours zéro dans plusieurs plugins peuvent permettre aux hackers d’installer des portes dérobées et de mettre en place des administrateurs malveillants.
Les chercheurs de NinTechNet ont déclaré qu’ils ont soumis le rapport à l’équipe de développement du plugin WordPress pour les actions et mises à jour nécessaires.
À peine une heure après avoir reçu le rapport, l’équipe WordPress a publié un correctif avec la version 2.3.2 pour corriger la faille activement ciblée. Cependant, certains utilisateurs ont déjà été piratés avant que la mise à jour ne soit disponible.
Des rapports ont révélé que trois autres failles zero-day ont été exploitées
La société de sécurité WordPress, Defiant, a découvert qu’il y avait trois autres failles zero-day ciblées, ce qui affecte d’autres plugins WordPress. Les chercheurs l’ont découvert au cours de l’analyse de l’attaque «zero-day» actuelle.
Les développeurs de 10Web Map Builder et Async JavaScript ont également publié des mises à jour pour corriger les vulnérabilités exploitées.
Selon Mikey Veenstra, analyste chez Defiant Threat, «cette campagne d’attaque exploite les vulnérabilités XSS dans les plugins ci-dessus pour injecter du Javascript malveillant qui peut créer des plugins malveillants qui comportant des portes dérobées».
Il a également réitéré que les administrateurs de sites qui utilisent les plugins devraient prendre les mesures appropriées pour mettre fin à ces attaques.
Il a déclaré que l’équipe de Defiant Security comprend l’importance de la communication des informations relatives à la sécurité, et que la société ne révélera pas les détails des vulnérabilités s’il n’était pas important que la communauté WordPress le sache.
Savoir si votre site WordPress est compromis ou non
Lukasz Spryszak, du bureau de sécurité de WordPress, a énuméré quelques symptômes qui indiqueraient que le site web d’un utilisateur a été violé par la campagne de piratage. Voici quelques-uns de ces symptômes :
1) Réorganisation des champs de paiement ou ajout de nouveaux champs qui n’avaient pas été ajoutés initialement.
2) Fichiers suspects, en particulier ceux portant une extension .zip ou .php.
3) L’apparition de nouveaux plugins qui n’ont pas été installés initialement.
4) Lorsque de nouveaux comptes d’administrateur apparaissent lorsque l’utilisateur sait qu’ils n’ont pas été créés par l’utilisateur.
Il y a eu beaucoup plus de rapports sur les vulnérabilités des plugins WordPress et l’exploration des vulnérabilités zero-day récemment corrigées. Par exemple, la semaine dernière, BleepingComputer a signalé que certains hackers avaient tenté de violer complètement les sites WordPress en explorant les versions non corrigées des plugins Duplicator, Profile Builder et ThemeGrill Demo Importal.
Les chercheurs ont révélé qu’il y avait environ 1 250 000 installations pour ces plugins vulnérables. Avec ce grand nombre d’installations, les attaquants auraient eu un plaisir fou à exploiter les plugins s’ils avaient réussi à les infiltrer.
De même, la semaine dernière, des hackers ont exploité une vulnérabilité «zero-day» qui permet l’exécution de code à distance dans le plugin WordPress de ThemeREX. Cette fois, le plugin compte environ 40 000 installations. Les attaquants voulaient créer un compte administrateur qui leur permettrait de prendre le contrôle total des sites Web vulnérables.
Il existe d’autres plugins WordPress vulnérables que les attaquants pourraient cibler, y compris les multiples plugins de vulnérabilité GDPR Cookie, qui ont plus de 700 000 installations. Les attaquants peuvent exploiter ces vulnérabilités et injecter un bug CSRF ou du code JavaScript malveillant dans le plugin.
De plus, deux failles ont été trouvées dans le plugin de réinitialisation de la base de données WordPress. Les chercheurs ont révélé que les hackers peuvent exploiter la vulnérabilité et réinitialiser la base de données des sites ou prendre complètement le contrôle des sites si les mises à jour ne sont pas complètement installées.
