WordPress: plus d’1 million de sites ciblés par des pirates

Une attaque a ciblé sans succès 1,3 million de sites WordPress, dans le but de télécharger leurs fichiers de configuration et de récupérer les informations d’identification de la base de données.

Les attaquants ont été repérés ciblant plus d’un million de sites Web WordPress dans une campagne de piratage. La campagne a tenté en vain d’exploiter les anciennes vulnérabilités de script intersite (XSS) dans les plugins et les thèmes WordPress.

Les attaques visaient à télécharger wp-config.php, un fichier essentiel à toutes les installations WordPress. Le fichier est situé à la racine des répertoires de fichiers WordPress et contient les informations d’identification de la base de données des sites Web et les informations de connexion, en plus des clés et des sels d’authentification uniques. En téléchargeant les fichiers de configuration des sites, un pirate aurait accès à la base de données du site, où le contenu du site et les informations d’identification sont stockés, ont déclaré des chercheurs de Wordfence qui ont repéré l’attaque.

Entre le 29 et le 31 mai, les chercheurs ont observé (et ont pu bloquer) plus de 130 millions d’attaques ciblant 1,3 million de sites.

“Le pic de cette campagne d’attaque s’est produit le 30 mai 2020”, ont déclaré des chercheurs de Wordfence. «À ce stade, les attaques de cette campagne ont représenté 75% de toutes les tentatives d’exploitation des vulnérabilités des plugins et des thèmes dans l’écosystème WordPress.»

wordpress code snippets

Les chercheurs ont fait le lien entre les pirates dans cet incident et une attaque du début du mois de Mai qui ciblait des vulnérabilités XSS. Ces campagnes précédentes, qui ont commencé le 28 avril, tentaient d’injecter un code JavaScript malveillant dans les sites Web. Ce code redirigerait ensuite les visiteurs et profiterait d’une session administrateur pour insérer une porte dérobée dans l’en-tête du thème.

“Après une enquête plus approfondie, nous avons constaté que ces pirates informatiques attaquaient également d’autres vulnérabilités, principalement des vulnérabilités plus anciennes leur permettant de modifier l’URL d’un site avec le même domaine utilisé dans la charge utile XSS afin de rediriger les visiteurs vers des sites malveillants”, ont déclaré des chercheurs.

wordpress

Cette campagne a provoqué des attaques de plus de 20 000 adresses IP différentes, ont déclaré des chercheurs. Cette campagne plus récente utilise les mêmes adresses IP, qui représentaient la majorité des attaques et des sites ciblés, ce qui a conduit les chercheurs à faire le lien entre les deux campagnes.

La campagne la plus récente a également élargi son ciblage, selon les chercheurs, atteignant maintenant près d’un million de nouveaux sites qui n’étaient pas inclus dans la campagne XSS précédente. Comme pour les campagnes XSS, presque toutes les attaques visent des vulnérabilités plus anciennes dans des plugins ou des thèmes obsolètes qui permettent de télécharger ou d’exporter des fichiers.

Alors que des centaines d’exploits sont tentés, les chercheurs ont déclaré que parmi les CVE les plus fréquemment utilisées, il y avait CVE-2014-9734, CVE-2015-9406, CVE-2015-5468 et CVE-2019-9618. L’attaquant semble systématiquement parcourir exploit-db.com et d’autres sources d’exploits potentiels, puis les exécute sur une liste de sites, ont déclaré des chercheurs.

“La plupart d’entre eux sont dans des thèmes ou des plugins conçus pour permettre le téléchargement de fichiers en lisant le contenu d’un fichier fourni dans une chaîne de requête, puis en le servant comme pièce jointe téléchargeable”, a déclaré Ram Gall, de Wordfence.

Que faire si vous pensez que votre site WordPress est compromis?

Les chercheurs ont déclaré que les sites Web qui pourraient avoir été compromis doivent changer leur mot de passe de base de données et leurs clés et sels uniques d’authentification immédiatement.

«Si votre serveur est configuré pour autoriser l’accès à une base de données à distance, un attaquant avec vos informations d’identification de base de données pourrait facilement ajouter un utilisateur administratif, exfiltrer des données sensibles ou supprimer complètement votre site. Même si votre site n’autorise pas l’accès à une base de données à distance, un attaquant qui connaît les clés d’authentification et les sels de votre site pourrait être en mesure de les utiliser pour contourner plus facilement d’autres mécanismes de sécurité. “

Les chercheurs recommandent également aux utilisateurs de s’assurer que leurs plugins sont mis à jour, car les vulnérabilités dans les plugins et les thèmes WordPress continuent d’être un problème. Il y a quelques semaines, par exemple, les chercheurs ont révélé deux failles dans Page Builder de SiteOrigin, un plugin WordPress avec un million d’installations actives qui est utilisé pour créer des sites Web via une fonction glisser-déposer. Les deux failles de sécurité peuvent entraîner des failles de falsification de requêtes intersites (CSRF) et XSS.

Dans cette récente campagne, de nombreuses failles avaient des correctifs disponibles – mais les utilisateurs n’avaient pas mis à jour, laissant leurs sites Web vulnérables: «Néanmoins, nous vous invitons à vous assurer que tous les plugins et thèmes sont mis à jour et à partager ces informations avec tous les autres propriétaires ou administrateurs de sites que vous connaissez », ont déclaré les chercheurs. «Les attaques de ces pirates évoluent et nous continuerons à partager des informations supplémentaires à mesure qu’elles seront disponibles.»