Plus de 900 000 sites WordPress ont été ciblés dans une nouvelle cyber-attaque de grande ampleur qui vise à rediriger tout visiteur vers des contenus malveillants. Des portes dérobées auraient également été implémentées dans l’en-tête de leurs thèmes, permettant de copier ou de détruire les identifiants administrateurs des sites concernés.
L’initiative de cette attaque semble être le fait d'un hacker isolé. Celui-ci s’est servi d’anciennes vulnérabilités connues de Wordpress pour modifier l’URL d’accueil d’un site et rediriger ses lecteurs vers un nom de domaine répertorié comme dangereux. C’est la charge utile Javascript injectée qui a permis aux experts en sécurité informatique d’identifier une action solo.
- Des alertes envoyées par Microsoft Teams cachent une tentative de phishing
- Une fraude financière en ligne détectée « toutes les deux minutes »
- Cette extension Chrome vous protège contre toute attaque en ligne
C’est Defiant, une société spécialisée dans la protection des sites Wordpress, qui a localisé la première la campagne d’attaques massive. Dans un billet de blog rédigé par Ram Gall, son directeur qualité, elle souligne l'ampleur de la propagation :
« Si nos archives indiquent que le responsable de cette menace a commencé par lancer un volume d'attaques restreint dans le passé, ce n'est qu’au cours de ces derniers jours qu'elles ont véritablement pris une dimension critique. Plus de 20 millions d'attaques ont été tentées contre près d’un demi-million de sites individuels le 3 mai 2020. Nous avons détecté au total 24 000 adresses IP distinctes envoyant des requêtes correspondant à ces attaques ».
Des vulnérabilités Wordpress qui courent toujours
Selon M. Gall, le cybercriminel a ciblé de multiples vulnérabilités présentes dans des plugins WordPress qui ont été soit retirés des dépôts officiels, soit corrigés durant les cinq dernières années.
Plus de la moitié des attaques ont visé des sites avec le plugin Easy2Map qui contient une vulnérabilité XSS. Bien que le plugin ait été retiré du dépôt WordPress en août 2019, il est toujours installé sur 3 000 sites environ. L'attaquant a également exploité des vulnérabilités XSS disponibles au sein du thème Newspaper ainsi que du plugin Blog Designer, respectivement corrigées en 2016 et en 2019.
La modification des URL d'accueil, elle, a pu se concrétiser par le biais d’une faille de sécurité visible sur les plugins WP GDPR Compliance et Total Donations. WP GDPR Compliance compte plus de 100 000 installations mais Defiant estime qu'il ne reste plus que 5 000 installations vulnérables. Total Donations, en revanche, a été définitivement retiré du marché au début de 2019 et on estime qu'il reste moins de 1 000 installations critiques au total.
Si votre site utilise l'un de ces plugins ou thèmes, il est fortement recommandé de les mettre à jour immédiatement et de supprimer ceux qui ne sont plus opérationnels dans le dépôt officiel de WordPress.
Via BleepingComputer
