Les objectifs de la campagne ne paraissent pas immédiatement clairs, car
les malfaiteurs ne semblent pas utiliser les sites Web détournés à d’autres
fins néfastes.
Les attaquants ont exploité une faille de sécurité dans un plugin
WordPress de conformité au RGPD, afin de prendre le contrôle des sites Web
vulnérables, selon un
article de blog de Defiant, qui fait des plugins de sécurité Wordfence pour
la plate-forme de publication Web.
Fait important, le développeur derrière le plugin, qui s’appelle WP GDPR Compliance,
a publié un correctif corrigeant le défaut critique. Il est donc fortement
conseillé à ses utilisateurs de passer à la version 1.4.3, ou bien de
désactiver ou de supprimer l’outil.
Utilisé par plus de 100 000 sites Web cherchant à se conformer au Règlement général sur
la protection des données (RGPD) de l’Union européenne, le plugin a été
retiré du référentiel de plugins WordPress après la découverte de la faille. Il
a cependant été rétabli rapidement avec la publication de la nouvelle version
corrigeant cette faille.
Deux en un
S’il est laissé en place, l‘escalade des privilèges permet
aux attaquants de s’emparer des sites impactés et de les utiliser pour une
série d’autres actions malfaisantes. Il ne s’agit pas seulement d’une menace
hypothétique, car il a été constaté que les attaquants compromettaient des
sites Web vulnérables depuis environ trois semaines.
En fait, le plugin WordPress a été affecté par deux bogues distincts.
Cependant, « avec des exploits potentiels vivant dans le même bloc de
code et exécutés avec la même charge utile, nous traitons ceci comme une
vulnérabilité d’escalade de privilège unique », peut-on lire dans le
billet du blogue. Les chercheurs ont repéré deux types d’attaques tirant parti
de la faille de sécurité : une plus simple et une plus complexe.
Comme on l’explique dans cet
article de suivi, le premier – et le plus courant – scénario implique que
les attaquants abusent du système d’enregistrement des utilisateurs sur un site
Web ciblé afin de créer de nouveaux comptes administrateurs, ce qui leur donne
carte blanche vis-à-vis du site.
Dans le cadre de leur routine malveillante, les attaquants
« ferment les portes derrière eux », en inversant les changements de
paramètres qui les laissent entrer et en désactivant l’enregistrement des
utilisateurs. Il s’agit probablement d’éviter de déclencher des alarmes et de
verrouiller les puits qui se font concurrence. Quelques heures plus tard, les
attaquants sont de retour, se connectent avec leur accès administrateur et
installent des backdoors (ou portes dérobées).
Dans le second type d’attaque, peut-être plus discret, les malfaiteurs
utilisent le bogue pour abuser du planificateur de tâches de WordPress appelé
WP-Cron. En résumé, ils injectent des actions malveillantes dans le
planificateur de tâches afin d’établir des portes dérobées persistantes.
On ignore toujours pour l’instant comment les attaquants prévoient au
final tirer profit des sites Web détournés. Quoi qu’il en soit, les actions
potentiellement néfastes sont multiples et comprennent l’hébergement de sites
d’hameçonnage et l’envoi de courrier indésirable.