Les pirates utilisent activement des plugins WordPress vulnérables pour attaquer des sites Web

De plus en plus de pirates informatiques utilisent les dernières vulnérabilités de sécurité découvertes récemment dans l'attaque des plugins WordPress. Les cybercriminels ciblent les propriétaires de sites Web qui ne mettent pas à jour leurs plugins et utilisent toujours d'anciennes versions de versions vulnérables.

Plusieurs groupes de hackers le font. Pour l'instant, les experts en sécurité connaissent au moins deux groupes qui attaquent les versions non corrigées des plugins Profile Builder, ThemeGrill Demo Importer et Duplicator.

Ce sont des plugins assez populaires installés sur de nombreux sites Web. On estime qu'il existe plusieurs centaines de milliers de sites Web qui risquent d'être exploités parce que leurs propriétaires n'ont pas mis à jour ces trois plugins.

Tous les plugins mentionnés ci-dessus partagent une chose en commun. Les chercheurs en sécurité ont récemment partagé des rapports sur les bogues de sécurité critiques trouvés dans ces plugins qui pourraient conduire à la compromission du site Web.

L'un des adversaires que les experts en sécurité appellent Tonyredball a accès aux sites Web WP qui ont une version vulnérable de :

ThemeGrill Demo Importer (inférieur à la version 1.6.3) La faille permet à tout utilisateur de se connecter comme un administrateur et d'effacer toute la base de données.

Profile Builder (avant la version 3.1.1) Le bogue permet également aux utilisateurs non authentifiés d'obtenir des privilèges d'administrateur.

Groupe Tonyredball
Les experts en sécurité de Defiant soulignent que le groupe Tonyredball exploite le bogue d'enregistrement de l'administrateur dans le plugin Profile Builder en utilisant des requêtes Web contenant l'e-mail et le nom d'utilisateur du nouveau compte administrateur.

Dans le même temps, les experts estiment que ce groupe de pirates est engagé dans de nombreuses autres attaques qui exploitent le bogue de suppression de base de données trouvé dans le plugin ThemeGrill Demo Importer.

La raison de l'exploitation massive de ThemeGrill Demo Importer est probablement la facilité de le faire. Il suffit que les attaquants envoient une demande à une attaque de site vulnérable via des plugins WordPress. Et dans le cas de Profile Builder, les attaquants devraient déployer des efforts plus sérieux car ils devraient d'abord trouver la forme vulnérable.

Le résultat final de l'exploitation des deux vulnérabilités est d'obtenir des privilèges administratifs et la possibilité d'accéder au site Web de la victime. Une fois l'accès obtenu, avec l'aide des téléchargeurs de thèmes et de plugins, les pirates téléchargent leurs scripts malveillants dans le tableau de bord WordPress.

Les pirates utilisent plusieurs types de scripts associés à des noms de fichiers tels que wp-block-plugin.php, blockspluginn.php, supersociall.php et wp-block-plugin.php.

Après l'exploitation initiale, les attaquants fournissent des charges utiles supplémentaires destinées à infecter davantage de fichiers et à obtenir une présence plus large sur le site. De plus, les chercheurs ont observé que les auteurs de logiciels malveillants commencent à rechercher d'autres sites WP vulnérables à la même méthode d'exploitation.

Dans de nombreux cas, les attaquants injectent du code malveillant dans des fichiers JavaScript légitimes. L'objectif de ce mouvement est de charger un autre script à partir d'un serveur différent qui redirigerait les visiteurs vers des sites Web malveillants contrôlés par les cybercriminels.

À l'heure actuelle, cette redirection est facile à repérer et peu sophistiquée, mais les malfaiteurs peuvent modifier leur script pour qu'il soit beaucoup plus sournois.

Dans un cas, les visiteurs ont été redirigés vers un site Web appelé Talktofranky qui a demandé d'appuyer sur Autoriser dans la fenêtre de notification du navigateur, afin de prouver qu'ils sont de vraies personnes et non des bots. Si les visiteurs le faisaient, ils autorisaient le site à envoyer diverses notifications, y compris des spams.

Cela peut sembler une menace mineure, mais les propriétaires d'appareils Mac qui ne sont pas faciles à pirater sont souvent victimes de telles astuces. Par exemple, les utilisateurs se sont retrouvés redirigés vers des sites malveillants comme A.akamaihd.net.

Les chercheurs en sécurité ont trouvé une discussion sur l'un des forums en ligne dédiés à cette situation, suggérant qu'il y a pas mal de victimes.

Ce qui est intéressant, toutes les attaques du groupe Tonyredball proviennent d'une seule IP -45.129.96.17. Il est situé en Estonie et attribué au fournisseur d'hébergement local appelé GMHost. Ce fournisseur est bien connu pour ses mauvaises politiques qui attirent de nombreux cybercriminels pour y héberger. Ce fournisseur ne réagit tout simplement pas aux plaintes.

Il n'est pas très clair combien de sites Web WordPress peuvent être touchés à cause de plugins vulnérables. Les chercheurs estiment que le plugin Profile Builder peut être installé sur environ 37 000 sites et ThemeGrill Demo Importer sur environ 40 000 sites.

Groupe Solarsalvador1234
Un autre groupe qui semble être plus sophistiqué s'appelle Solarsalvador1234. Les chercheurs de Defiant l'ont nommé ainsi car il s'agit du nom d'une adresse e-mail souvent utilisée dans les requêtes Web qui ont conduit à l'exploitation.

Cet acteur de menace cible également les deux plugins mentionnés ci-dessus mais en plus d'eux, le groupe Solarsalvador1234 a le plugin Duplicator sur sa liste. Ce plugin WordPress permet de cloner et de migrer un site Web d'un endroit à un autre. Il compte plus d'un million d'installations actives !

Les versions de Duplicator inférieures à 1.3.28 sont signalées comme possédant une faille de sécurité qui permet aux visiteurs non authentifiés de télécharger différents fichiers à partir de sites Web ciblés.

Ce bogue est souvent utilisé pour obtenir le fichier de configuration du site victime - wp-config.php qui stocke les informations d'identification de l'utilisateur pour accéder à la base de données. L'objectif principal est d'obtenir des possibilités d'accès prolongées et à long terme sur le site Web compromis.

Ainsi, en exploitant ces trois vulnérabilités de sécurité, en fin de compte, les attaquants obtiennent un accès administratif complet aux sites Web des victimes. Il est important de rappeler que ces vulnérabilités sont déjà divulguées publiquement et corrigées.

Dans le cas du piratage, les propriétaires de sites Web devraient se reprocher de ne pas suivre les meilleures pratiques de sécurité et de ne pas mettre à jour les plugins WordPress d'attaque à temps. Sur la base de statistiques récentes, les chercheurs en sécurité estiment qu'environ 800 000 sites Web exécutent toujours une version non corrigée de Duplicator.

Il existe de nombreuses raisons de croire que les trois plugins vulnérables mentionnés ci-dessus ne sont pas les seuls à être exploités.

Encore une fois, les propriétaires de sites Web doivent se rappeler qu'une fois qu'une mise à jour de sécurité est publiée, leur priorité devrait être de l'installer car de plus en plus de pirates attaquent les sites Web WordPress, trouvant et exploitant rapidement toutes les failles de sécurité nouvelles et anciennes.