Une attaque massive cible 1,6 million de sites WordPress

Besoin d'améliorer votre visibilité?

Votre site internet ne décolle pas, ou vous souhaitez obtenir des conseils d'optimisation, notre expert vous répond gratuitement du lundi au samedi et de 9h à 19h:

Envoyer un message

Gestion des risques tiers , Sécurité des applications , Gouvernance et gestion des risques

13,7 millions d’attaques en 36 heures depuis plus de 16 000 adresses IP différentes

Prajeet Naïr (@prajeetspeaks) •
11 décembre 2021

Une attaque massive cible 1,6 million de sites WordPress
Source : WordPress

Une vague massive d’attaques en cours contre plus de 1,6 million de sites WordPress a été identifiée par des chercheurs d’une société de sécurité Sécurité Wordfence. Ils rapportent avoir vu plus de 13,7 millions de tentatives d’attaques différentes sur une période de 36 heures, qui se concentrent toutes sur l’exploitation de quatre plug-ins WordPress différents et de plusieurs thèmes de framework Epsilon.

Voir également: Discussion en direct | Améliorez votre posture de sécurité des données pour accélérer les récupérations de ransomwares


La campagne d’attaque, qui provient de plus de 16 000 adresses IP différentes, permet aux attaquants de prendre le contrôle de sites vulnérables grâce à l’utilisation de la mise à jour arbitraire des options.


Les chercheurs recommandent que tous les sites soient mis à jour avec les dernières versions corrigées des plug-ins et des thèmes.


Les plug-ins WordPress continuent d’être un risque majeur pour toute application Web, ce qui en fait une cible régulière pour les attaquants, déclare Uriel Maimon, directeur principal des technologies émergentes chez le fournisseur de services de protection contre les menaces PerimeterX.


Vulnérabilité détectée


Les chercheurs de Wordfence affirment que les attaquants ciblent des failles de mise à jour d’options arbitraires non authentifiées dans quatre plug-ins différents. Parmi les plug-ins, Kiwi Social Share a été corrigé pour la dernière fois en novembre 2018 ; WordPress Automatic et Pinterest Automatic le 23 août ; et les capacités de PublishPress le 6 décembre.


« En raison de la gravité de ces vulnérabilités et de la campagne massive qui les cible, il est extrêmement important de s’assurer que votre site est protégé contre les compromis », déclare Wordfence. « Nous vous recommandons fortement de vous assurer que tous les sites exécutant l’un de ces plug-ins ou thèmes ont été mis à jour vers la version corrigée. La simple mise à jour des plug-ins et des thèmes garantira que votre site reste à l’abri des compromis contre tout exploit ciblant ces vulnérabilités. »


Les chercheurs de Wordfence rapportent avoir vu peu de tentatives pour cibler ces failles avant mercredi. Compte tenu de ce timing, ils soupçonnent que le correctif PublishPress Capabilities a conduit les attaquants à désosser la faille et à commencer à cibler diverses vulnérabilités de mise à jour d’options arbitraires.


« Le code fantôme introduit via des plug-ins et des frameworks tiers élargit considérablement la surface d’attaque des sites Web », déclare Maimon. « En conséquence, les propriétaires de sites Web doivent être vigilants quant aux plug-ins et frameworks tiers et se tenir au courant des mises à jour de sécurité. Ils doivent sécuriser leurs sites Web à l’aide de pare-feu d’applications Web, ainsi que de solutions de visibilité côté client qui peuvent révéler le présence de code malveillant sur leurs sites. »


Les attaquants ciblent également une vulnérabilité d’injection de fonction dans divers thèmes du framework Epsilon pour essayer de mettre à jour des options arbitraires.


Les thèmes du framework Epsilon ciblés sont Activello, Affluent, Allegiant, Antreas, Bonkers, Brilliance, Illdy, MedZone Lite, NewsMag, Newspaper X, Pixova Lite, Regina Lite, Shapely et Transcend. Un autre thème affecté est NatureMag Lite, et comme aucun correctif n’est encore disponible, les chercheurs recommandent à toute personne ayant ce thème installé sur son site WordPress de le supprimer immédiatement.


« Dans la plupart des cas, les attaquants mettent à jour l’option « les utilisateurs peuvent s’enregistrer » sur « activé » et définissent l’option « rôle par défaut » sur « administrateur ». Cela permet aux attaquants de s’inscrire sur n’importe quel site en tant qu’administrateur, prenant effectivement le contrôle du site », explique Wordfence.


Plugins vulnérables


Les plug-ins concernés et leurs versions incluent PublishPress Capabilities version 2.0.10 et antérieure. Cela fournit un point de contrôle unique sur toutes les autorisations sur un site WordPress – par exemple, pour gérer les rôles des utilisateurs et les autorisations accordées aux éditeurs de contenu. Il compte plus de 100 000 installations actives.


Le deuxième plug-in est Kiwi Social Plug-In version 2.0.10 et antérieure, qui compte plus de 10 000 installations actives et permet à un utilisateur de laisser les visiteurs du site partager du contenu sur les réseaux sociaux. Le troisième plug-in concerné est Pinterest Automatic version 4.14.3 et versions antérieures, qui permet d’épingler automatiquement les images des publications des utilisateurs sur Pinterest. Il compte plus de 7 400 installations.


Le dernier plug-in concerné est WordPress Automatic version 3.53.2 et versions antérieures, qui compte plus de 28 825 implémentations et offre la possibilité de publier automatiquement sur WordPress à partir de presque tous les sites Web. Il peut également importer du contenu à partir de sites populaires tels que YouTube et Twitter via leurs API, ou à partir de presque n’importe quel site Web au choix d’un utilisateur via ses modules de grattage.


Les chercheurs de Wordfence recommandent aux utilisateurs d’examiner les comptes d’utilisateurs sur le site pour déterminer si des comptes d’utilisateurs non autorisés ont été ajoutés.


« Si le site exécute une version vulnérable de l’un des quatre plug-ins ou de divers thèmes et qu’un compte d’utilisateur malveillant est présent, le site a probablement été compromis via l’un de ces plug-ins. Veuillez supprimer immédiatement tout compte d’utilisateur détecté. « , dit Wordfence. « Il est également important de revoir les paramètres du site et de s’assurer qu’ils ont été remis à leur état d’origine. »


En octobre, les chercheurs de Wordfence ont averti qu’un plug-in WordPress installé sur plus d’un million de sites Web était vulnérable aux bogues de grande gravité.


Les vulnérabilités du plug-in OptinMonster, qui aide les clients à créer des campagnes de vente, auraient permis aux attaquants d’exporter des informations sensibles et d’ajouter des morceaux de code malveillants ou du JavaScript à tous les sites WordPress concernés (voir : Les bogues du plug-in WordPress mettent plus d’un million de sites en danger).


Ce ne sont pas les premières vulnérabilités des plug-ins WordPress contre lesquelles les chercheurs de Wordfence ont mis en garde. En mars, ils ont signalé qu’un plug-in WordPress appelé Tutor LMS présentait plusieurs vulnérabilités associées aux points de terminaison Ajax non protégés. Ces défauts ont ensuite été corrigés. (voir: Correction des failles du plug-in WordPress LMS Tutor).




Article traduis depuis:
Source link