Posté le janvier 2, 2023 à 6:21
UN LOGICIEL MALVEILLANT LINUX UTILISE DES THÈMES ET DES PLUGINS WORDPRESS OBSOLÈTES POUR EXPLOITER 30 VULNÉRABILITÉS
Un logiciel malveillant Linux qui n’a pas été détecté a été découvert exploitant 30 vulnérabilités dans plusieurs thèmes et plugins WordPress périmés. Les acteurs malveillants ont exploité ces vulnérabilités pour lancer des JavaScript malveillants.
Un logiciel malveillant Linux exploite 30 vulnérabilités
Les détails de ce logiciel malveillant ont été révélés dans un rapport de l’éditeur d’antivirus Dr. Web. Le logiciel malveillant Linux cible les systèmes Linux 32 bits et 64 bits. Il permet au lecteur malveillant d’avoir la possibilité d’exécuter des commandes à distance.
Ce logiciel malveillant fonctionne comme un cheval de Troie. L’objectif principal de ce cheval de Troie est d’obtenir un accès non autorisé aux sites WordPress. Le logiciel malveillant accède à ces sites en utilisant plusieurs exploits codés en dur qui ont été exécutés successivement par les attaquants. L’attaquant exécute les exploits jusqu’à ce que l’un d’entre eux réussisse.
Les plugins et thèmes visés par l’exploit sont les suivants : WP Live Chat Support, WordPress-Yuzo Related Posts, Yellow Pencil Visual Theme Customizer, Easysmtp, WP GDPR Compliance, Newspaper Theme on WordPress Access Control, Thim Core et Google Code Inserter.
Les autres plugins ciblés sont Total Donation, Post Custom Templates Lite, WP Quick Booking Manager, Facebook Lice Chat by Zotabox, Blog Designer, Ultimate FAQ, et WP-Matomo Integration. WordPress ND Shortcodes pour Visual Composer, WP Live Chat, Coming Soon Page, Maintenance Mode, et Hybrid.
Le logiciel malveillant compromet la victime du site Web ciblé en utilisant une version obsolète ou vulnérable de l’un de ces plugins. Le logiciel malveillant accède au JavaScript malveillant à partir du serveur de commande et de contrôle (C2) avant que le script ne soit injecté dans l’emplacement du site web.
Les pages infectées seront utilisées pour rediriger vers un emplacement que le hacker a choisi. Par conséquent, ce stratagème est plus efficace sur les sites qui ont été abandonnés. La redirection sera également utilisée pour mener d’autres campagnes, telles que des attaques de phishing et la diffusion de logiciels malveillants. Le hacker peut aussi mener des campagnes de malvertising tout en évitant la détection et le blocage.
Les opérateurs de ce logiciel malveillant peuvent également proposer leurs services à d’autres cybercriminels qui souhaitent mener des campagnes malveillantes. Cette stratégie permet aux opérateurs d’étendre le champ d’action du logiciel malveillant.
Dr. Web a également observé et détecté une version mise à jour de cette charge utile dans la nature. La charge utile cible plusieurs modules complémentaires WordPress tels que Brizy WordPress Plugin, FV FlowPlayer Video Player, WooCommerce, WordPress Coming Soon Page, WordPress theme OneTone, Simple Fields, WordPress Delucks SEO plugin, Poll survey Form & Quiz Maker by OpinionStage, Social Metrics Tracker, WPeMatico RSS Feed Fetcher et Rich Reviews.
Le fait que la version mise à jour du logiciel malveillant cible ces modules complémentaires montre le développement actif de cette porte dérobée. Le rapport de Dr. Web indique par ailleurs que les deux variantes sont dotées d’une fonctionnalité inactive. Cependant, cette fonctionnalité permettrait de réaliser des attaques par force brute contre les comptes des administrateurs de sites Web.
Les administrateurs de sites Web WordPress doivent passer à la dernière version et se défendre contre les acteurs de la menace. La mise à niveau vers la dernière version des thèmes et des plugins utilisés sur le site Web et le remplacement des outils qui ne sont plus en cours de développement par des alternatives toujours prises en charge peuvent également constituer une défense contre les attaques.
L’autre alternative dont disposent les acteurs de la menace pour se défendre contre ces exploits est d’utiliser des mots de passe forts et de mettre en place un mécanisme d’authentification à deux facteurs pour se protéger des attaques par force brute.
Exploitation du plugin de carte cadeau de WordPress
Ce n’est pas le premier exploit détecté sur WordPress ces derniers temps. Des hackers se sont également attaqués à une vulnérabilité critique de YITH WooCommerce Gift Cards Premium, un plugin WordPress intégré dans plus de 50 000 sites Web. Les exploitants de sites Web utilisent ce plugin pour vendre des cartes-cadeaux dans des boutiques en ligne.
La vulnérabilité est répertoriée sous le nom de CVE-2022-45359. Elle permet à des hackers non authentifiés de télécharger des fichiers sur les sites web affectés. Cela inclut les shells web qui offrent un accès complet à ce site web.
La vulnérabilité CVE-2022-45359 a été révélée au public le 22 novembre 2022. Le bug a affecté toutes les versions du plugin jusqu’à la version 3.19.0. La faille a été résolue par une mise à jour de sécurité de la version 3.20.0. Le fournisseur a aussi récemment mis à jour la version 3.21.0, et il est conseillé aux utilisateurs de passer à cette version.
Cependant, il semble que le bogue continuera à faire des ravages car de nombreux sites Web utilisent une ancienne version qui était vulnérable aux attaques. Les hackers ont également développé un exploit fonctionnel pour attaquer ces sites. Par conséquent, la défense contre cette attaque dépend des mises à niveau effectuées.
