Un acteur malveillant inconnu de la menace exploite
des vulnérabilités de plugins pour lesquels des correctifs sont disponibles
depuis des mois, voire des années.
Plus de 900000 sites web
WordPress ont été ciblés par un acteur malveillant non identifié dans le cadre
d’une campagne de piratage à grande échelle au cours de la semaine dernière.
Defiant, qui fabrique les plugins de sécurité de Wordfence pour la plateforme
de publication web, souligne avoir
commencé à remarquer et à suivre un pic d’attaques ciblant en particulier les
vulnérabilités du Cross-Site Scripting (XSS) le 28 avril. Cette campagne à
grande échelle a finalement permis de multiplier par 30 le nombre d’attaques.
En se basant sur la charge
utile malveillante, Defiant soupçonne que la plupart de ces attaques sont
menées par un seul acteur malveillant. Selon Ram Gall, ingénieur de Wordfence
QA, le cybercriminel a commencé par un petit volume d’attaques et n’a pas
intensifié ses efforts jusqu’à la semaine dernière, la campagne ayant atteint
un pic de 20 millions de tentatives d’attaques contre plus d’un demi-million de
sites web le 3 mai.
« Au cours du mois dernier,
nous avons détecté au total plus de 24 000 adresses IP distinctes envoyant des
requêtes correspondant à ces attaques à plus de 900 000 sites »,
ajoute-t-il. L’acteur malveillant cible le Cross-Site Scripting (XSS) ainsi que
d’autres vulnérabilités afin de tenter d’injecter du code malveillant dans les
sites web qui redirigent ensuite les visiteurs vers des sites malveillants.
Il est à noter que des mises à
jour de sécurité sont disponibles pour les failles exploitées, et que les
correctifs ont été déployés il y a des mois et, dans certains cas, même des
années.
Trois des cinq vulnérabilités
ciblées sont liées au XSS. L’une d’entre elles affecte le plugin Easy2Map, qui
a représenté plus de la moitié des attaques et est probablement installé sur
moins de 3000 sites web. La deuxième faille de sécurité réside dans le Blog
Designer et a été corrigée l’année dernière; elle a déjà été ciblée auparavant
et Defiant estime qu’il y a environ 1000 installations vulnérables. La
troisième vulnérabilité XSS se trouve dans le thème des journaux, qui a
également été au centre des attaques dans le passé et a été corrigé depuis
2016.
Les deux dernières sont des
options de mise à jour des vulnérabilités. L’une affecte le plugin de
conformité WP GDPR qui a été patché depuis 2018 et nous avons déjà écrit à propos d’une campagne qui
a tenté de prendre le contrôle de sites web utilisant ce plugin. L’autre
affecte le plugin Total Donations qui a été définitivement retiré du marché
Envato en 2019. Chacune de ces vulnérabilités permet aux pirates de modifier
l’adresse web du site.
Les chercheurs pensent que
l’attaquant est suffisamment compétent pour cibler d’autres vulnérabilités à
l’avenir. Le meilleur conseil aux administrateurs de sites WordPress est vieux
comme le monde : assurez-vous de toujours maintenir le logiciel WordPress de
base et tous les plugins à jour. Il est également important de se débarrasser
des plugins abandonnés ou inutiles, car ils ne font qu’augmenter la surface
d’attaque d’une installation WordPress.