Attaque exploitent les failles d’un plugin WordPress au thème du RGPD pour pirater des sites Web

Tomáš Foltýn  

Les objectifs de la campagne ne paraissent pas immédiatement clairs, car les malfaiteurs ne semblent pas utiliser les sites Web détournés à d’autres fins néfastes.

Les attaquants ont exploité une faille de sécurité dans un plugin WordPress de conformité au RGPD, afin de prendre le contrôle des sites Web vulnérables, selon un article de blog de Defiant, qui fait des plugins de sécurité Wordfence pour la plate-forme de publication Web.

Fait important, le développeur derrière le plugin, qui s’appelle WP GDPR Compliance, a publié un correctif corrigeant le défaut critique. Il est donc fortement conseillé à ses utilisateurs de passer à la version 1.4.3, ou bien de désactiver ou de supprimer l’outil.

Utilisé par plus de 100 000 sites Web cherchant à se conformer au Règlement général sur la protection des données (RGPD) de l’Union européenne, le plugin a été retiré du référentiel de plugins WordPress après la découverte de la faille. Il a cependant été rétabli rapidement avec la publication de la nouvelle version corrigeant cette faille.

Deux en un

S’il est laissé en place, l‘escalade des privilèges permet aux attaquants de s’emparer des sites impactés et de les utiliser pour une série d’autres actions malfaisantes. Il ne s’agit pas seulement d’une menace hypothétique, car il a été constaté que les attaquants compromettaient des sites Web vulnérables depuis environ trois semaines.

En fait, le plugin WordPress a été affecté par deux bogues distincts. Cependant, « avec des exploits potentiels vivant dans le même bloc de code et exécutés avec la même charge utile, nous traitons ceci comme une vulnérabilité d’escalade de privilège unique », peut-on lire dans le billet du blogue. Les chercheurs ont repéré deux types d’attaques tirant parti de la faille de sécurité : une plus simple et une plus complexe.

Comme on l’explique dans cet article de suivi, le premier – et le plus courant – scénario implique que les attaquants abusent du système d’enregistrement des utilisateurs sur un site Web ciblé afin de créer de nouveaux comptes administrateurs, ce qui leur donne carte blanche vis-à-vis du site.

Dans le cadre de leur routine malveillante, les attaquants « ferment les portes derrière eux », en inversant les changements de paramètres qui les laissent entrer et en désactivant l’enregistrement des utilisateurs. Il s’agit probablement d’éviter de déclencher des alarmes et de verrouiller les puits qui se font concurrence. Quelques heures plus tard, les attaquants sont de retour, se connectent avec leur accès administrateur et installent des backdoors (ou portes dérobées).

Dans le second type d’attaque, peut-être plus discret, les malfaiteurs utilisent le bogue pour abuser du planificateur de tâches de WordPress appelé WP-Cron. En résumé, ils injectent des actions malveillantes dans le planificateur de tâches afin d’établir des portes dérobées persistantes.

On ignore toujours pour l’instant comment les attaquants prévoient au final tirer profit des sites Web détournés. Quoi qu’il en soit, les actions potentiellement néfastes sont multiples et comprennent l’hébergement de sites d’hameçonnage et l’envoi de courrier indésirable.

https://www.welivesecurity.com/fr/2018/11/16/failles-plugin-wordpress-rgpd/

Two Brits jailed for TalkTalk hack

Tomáš Foltýn

The breach exposed the personal data of 160,000 people and cost the telecom company £77 million

Two young Brits have been jailed for their roles in the breach at the telecommunications company TalkTalk in 2015, The Guardian reports.

The Old Bailey criminal court in London sentenced Matthew Hanley, 23, and Connor Allsopp, 21, both from Staffordshire, to 12 and 8 months in jail, respectively.

As we wrote in April 2017, both youngsters admitted to their roles in the data breach that unfolded between 18-22 October 2015 and exposed the names, addresses, dates of birth, email addresses, and phone numbers of almost 160,000 people. Additionally, almost 16,000 of the victims also had their banking credentials stolen.

Hanley copped to several charges of violating the Computer Misuse Act, including those related to his obtaining files to enable the hack, compromising the website of the telecom giant, and passing on the stolen details to his associate.

Hanley sought to escape justice by encrypting some data and erasing the rest, as also corroborated by a statement from the Metropolitan Police. However, he wouldn’t resist boasting of his misdeeds to his peers on social media, which proved to be his undoing when police accessed the logs of the conversations.

Meanwhile, Allsopp fessed up to sharing a spreadsheet containing the data with another user for fraud and to attempting to sell it off to cybercriminals.

In December 2016, a 17-year-old youth was sentenced to a 12-month rehabilitation order for identifying the vulnerabilities on the target websites that were exploited for the attack, which used a common technique known as SQL injection.

The breach cost the company £77 million, including a record-high fine from the United Kingdom’s data watchdog, The Information Commissioner’s Office (ICO). Information Commissioner Elizabeth Denham didn’t mince words when announcing the penalty: “TalkTalk’s failure to implement the most basic cybersecurity measures allowed hackers to penetrate TalkTalk’s systems with ease … TalkTalk should and could have done more to safeguard its customer information. It did not and we have taken action”.

https://www.welivesecurity.com/2018/11/21/two-brits-jailed-talktalk-hack/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29