Nouveau logiciel malveillant Linux exploitant plus de 20 failles CMS dans les sites WP

Publié: 2023-02-06

De nouveaux logiciels malveillants Linux sont apparus qui tirent parti des vulnérabilités de sécurité dans les thèmes WordPress et les plugins des sites Web qui s'exécutent sur une plate-forme Linux. En exécutant Javascript pour cibler le code source du site Web, le logiciel malveillant peut aider les cybercriminels à lancer des attaques DDoS, à accéder à des données sensibles et à rediriger les utilisateurs vers des sites Web malveillants.

Cet article fournira un aperçu complet de ce nouveau logiciel malveillant Linux, expliquant comment il fonctionne, les failles du CMS qui peuvent être exploitées et ce qui peut être fait pour empêcher une telle attaque.

Qu'est-ce qu'une attaque de logiciel malveillant Linux ?

De nombreux environnements cloud d'aujourd'hui sont basés sur un système d'exploitation Linux. Pour cette raison, les cyberattaques visant directement les hôtes Web qui utilisent Linux sont en augmentation. En infiltrant avec succès un environnement Linux, les cybercriminels peuvent accéder à une gamme de données sensibles, exécuter des logiciels malveillants et potentiellement causer des dommages à long terme à l'infrastructure informatique.

Découverte d'un nouveau malware Linux
Avertissement de malware Linux

Depuis 2020, les chevaux de Troie et les rançongiciels sont les formes les plus courantes d'attaques de logiciels malveillants basés sur Linux.

Des vulnérabilités, telles que les dernières failles du CMS WordPress, ont compromis les réseaux. D'autres vulnérabilités incluent un manque d'authentification sur un réseau ou une mauvaise configuration du serveur. Malheureusement, de telles attaques ont plutôt réussi ces dernières années et deviennent de plus en plus sophistiquées et diversifiées, causant des maux de tête aux équipes de cybersécurité.

Les types d'attaques de logiciels malveillants Linux

Il existe de nombreuses manières différentes pour un acteur malveillant d'exécuter une attaque de logiciel malveillant. Vous trouverez ci-dessous quelques-uns des types les plus courants.

Logiciels malveillants qui ciblent les images de VM

Les logiciels malveillants s'améliorent constamment, trouvant de nouvelles vulnérabilités qui sont ciblées par des attaques impressionnantes et réfléchies par des cybercriminels qualifiés. L'une de ces attaques consiste à cibler les images de machines virtuelles (VM) utilisées pour gérer les charges de travail.

Ce faisant, les pirates peuvent accéder à de précieuses ressources hébergées sur le cloud, ce qui leur permet de semer la pagaille.

Cryptojacking

Le cryptojacking peut être très lucratif pour les cybercriminels, en utilisant les ressources informatiques de la victime pour générer de la crypto-monnaie. Même des entreprises mondiales telles que Tesla ont été victimes d'une telle attaque.

Les logiciels malveillants de cryptojacking exploitent des systèmes dépourvus de sécurité avancée, permettant aux pirates de détourner des systèmes et de miner la crypto aux dépens de la victime.

Attaques Linux sans fichier

À l'aide de l'outil Ezuri open source écrit par Golang, les pirates peuvent chiffrer les logiciels malveillants, les déchiffrer sur un réseau piraté et ne laisser aucune trace sur le disque système. Cela permet au logiciel malveillant de contourner le logiciel antivirus.

Le groupe cybercriminel TeamTNT utilise couramment cette technique. Pour les grandes organisations, cela peut avoir des conséquences extrêmes, enfreignant les réglementations de conformité. La protection contre de telles attaques peut grandement contribuer à assurer la conformité PCI et à respecter d'autres directives réglementaires.

Explication de la conformité PCI
Explique la conformité PCI

Logiciels malveillants parrainés par l'État

Les groupes d'États-nations multiplient leurs attaques contre les environnements Linux, et cela est particulièrement évident dans la guerre russo-ukrainienne. L'objectif principal de ces attaques de logiciels malveillants est de perturber les communications et de détruire les données.

Comment les sites Web WP sont ciblés par les nouveaux logiciels malveillants Linux

Une nouvelle souche de logiciels malveillants Linux qui n'était pas connue auparavant des experts en cybersécurité cible les sites Web WordPress, ou plus précisément, plus de vingt plugins et thèmes.

L'éditeur de sécurité russe Doctor Web a analysé cette nouvelle menace, soulignant les vulnérabilités potentielles. Un représentant de Doctor Web a déclaré dans un rapport récent : « Si les sites utilisent des versions obsolètes de ces modules complémentaires, manquant de correctifs cruciaux, les pages Web ciblées sont injectées avec des JavaScripts malveillants. En conséquence, lorsque les utilisateurs cliquent sur n'importe quelle zone d'une page attaquée, ils sont redirigés vers d'autres sites.

Les attaques ciblent des sites Web spécifiques avec des plugins et des thèmes vulnérables pour déployer des logiciels malveillants. Cela permet de créer un réseau de sites Web (botnets) auxquels les cybercriminels ont accès à distance, leur permettant de mener diverses activités. JavaScript peut également être injecté dans un système récupéré par un serveur distant, redirigeant les utilisateurs qui accèdent à un site Web piraté et les envoyant vers un site Web malveillant.

Une autre version de porte dérobée de l'attaque impliquait un domaine de commande et de contrôle (C2) jusqu'alors inconnu, en plus de cibler les plus de 20 failles du CMS WordPress.

Dans les deux cas, l'attaquant utilise une méthode de force brute pour infiltrer les comptes d'administrateur WordPress. Doctor Web a ajouté: "Si une telle option est implémentée dans les nouvelles versions de la porte dérobée, les cybercriminels pourront même attaquer avec succès certains de ces sites Web qui utilisent les versions actuelles du plug-in avec des vulnérabilités corrigées."

20+ failles CMS qui ont été exploitées

La liste des thèmes et plugins vulnérables que le malware Linux a exploités comprend :

  • Concepteur de blog (< 1.8.12)
  • Brizy
  • Bientôt disponible et mode maintenance (<= 5.1.0)
  • Deucks SEO
  • Easy WP SMTP (1.3.9)
  • Lecteur vidéo FV Flowplayer
  • Hybride
  • Chat en direct avec Messenger Customer Chat par Zotabox (< 1.4.9)
  • Codes courts ND (<= 5.8)
  • Journal (CVE-2016-10972, 6.4 – 6.7.1)
  • Onetone
  • Créateur de sondages, d'enquêtes, de formulaires et de quiz par OpinionStage
  • Poster des modèles personnalisés Lite (< 1.7)
  • Avis riches
  • Champs simples
  • Smart Google Code Inserter (abandonné depuis le 28 janvier 2022, < 3.5)
  • Suivi des mesures sociales
  • Ce noyau
  • Dons totaux (<= 2.0.5)
  • WooCommerce
  • FAQ WordPress ultime (CVE-2019-17232 et CVE-2019-17233, 1.24.2)
  • Récupérateur de flux RSS WPeMatico, et
  • Conformité WP GDPR (1.4.2)
  • Chat en direct WP (8.0.27)
  • Support de chat en direct WP
  • Intégration WP-Matomo (WP-Piwik)
  • Gestionnaire de réservation rapide WP
  • Éditeur de style CSS visuel de crayon jaune (< 7.2.0)
  • Messages liés à Yuzo (5.12.89)

Précédentes attaques de logiciels malveillants WordPress

L'organisation de renseignement et de recherche sur les menaces Fortinet FortiGuard Labs a révélé un autre botnet (un groupe d'appareils connectés à Internet piratés) connu sous le nom de GoTrim. Ce réseau a été créé en utilisant des techniques de force brute sur des sites Web auto-hébergés qui utilisent le CMS WordPress, leur donnant le contrôle total du système.

Sucuri, une plate-forme de sécurité et de protection de sites Web appartenant à GoDaddy, a identifié plus de 15 000 sites Web WordPress piratés à la fin de 2022. Cela faisait partie d'une campagne globale de logiciels malveillants visant à rediriger les visiteurs du site Web vers des portails de questions-réponses contrôlés par des cybercriminels. En janvier 2023, plus de 9 000 de ces sites Web étaient toujours infectés.

À l'été 2022, Sucuri a également publié un rapport qui détaillait un système de direction du trafic (TDS) surnommé "" Parrot "" qui ciblait les sites Web WordPress utilisant des logiciels malveillants basés sur JavaScript.

Comment prévenir les attaques de logiciels malveillants Linux

Pour éviter une telle attaque, il est conseillé à tous les utilisateurs de WordPress de mettre à jour tous les composants de leurs sites Web, y compris les plugins et thèmes tiers. Comme meilleure pratique, les utilisateurs doivent également utiliser des mots de passe forts et des informations de connexion uniques pour chaque utilisateur afin d'augmenter la sécurité.

Les propriétaires de sites Web doivent également effectuer des sauvegardes régulières de leurs données, ce qui réduit le risque d'être victime d'une attaque de ransomware, tandis qu'il est également recommandé d'installer des plugins de sécurité premium régulièrement mis à jour.

Emballer

Cette attaque nouvellement identifiée cible plus de 20 plugins et thèmes WordPress hébergés sur un environnement Linux, permettant aux cybercriminels d'exécuter des logiciels malveillants. Bon nombre de ces attaques consistent à rediriger les visiteurs du site Web vers de faux sites Web, tandis que d'autres aident les pirates à développer des botnets qui peuvent être utilisés pour une gamme de crimes.

Les utilisateurs de WordPress peuvent empêcher une telle attaque en gardant tous les plugins et thèmes à jour et en utilisant des identifiants de connexion solides. La majorité des sites Web qui ont été victimes d'attaques de logiciels malveillants sont mal entretenus, ont une sécurité minimale installée et utilisent des mots de passe faibles.