En juillet dernier, lorsque l’éditeur de pare-feu internet, WordFence (alias Defiant) a détecté pour la première fois cette campagne, celle-ci tentait de pirater des sites WordPress afin de diffuser des annonces pop-up, des arnaques au support technique ainsi que des applications Android malveillantes.
Les plugins ciblés comprenaient des versions vulnérables de Coming Soon Page & Maintenance Mode, et ont été visés après que d’autres attaques aient eu lieu en avril et en mai contre Yellow Pencil Visual CSS Style Editor et Blog Designer.
Six semaines plus tard, encouragés certainement par le nombre de sites vulnérables trouvés, les attaquants ont mis à niveau leurs attaques pour prendre intégralement le contrôle de ces derniers.
Un nouveau plugin vulnérable, Bold Page Builder, également ajouté à la liste d’exploitation, aurait commencé à être pris pour cible le 22 août par les attaquants.
Des comptes admin malveillants
Toute personne disposant d’un plugin vulnérable risque maintenant de voir son site piraté par un compte utilisateur malveillant doté de privilèges administrateur. Comme auparavant, les attaquants tentent d’infecter des sites WordPress vulnérables avec du code JavaScript malveillant, exécuté chaque fois qu’un utilisateur visite une page affectée.
Le danger survient si l’utilisateur :
- A déjà visité une page infectée
- Est un administrateur WordPress actif
- Est actuellement connecté au site en question
Si ces conditions sont remplies, le code abuse silencieusement de la capacité de l’administrateur connecté à créer de nouveaux utilisateurs, en envoyant une demande AJAX pour créer un compte administrateur non autorisé appelé wpservices
.
Que peuvent faire les attaquants avec l’accès que ce compte frauduleux leur donne ?
À peu près tout ce qu’ils veulent !
Quoi faire ?
Le point important à retenir ici est que les plugins WordPress représentent un réel casse-tête en matière de sécurité pour les propriétaires de sites WordPress et doivent être mis à jour rapidement, dès que de nouveaux logiciels deviennent disponibles.
WordPress est une plateforme tellement populaire que tous les utilisateurs de sites WordPress devraient partir du principe que leurs sites font constamment l’objet de scans, de tests divers et de tentatives de piratage automatisées.
Ces derniers mois, nous avons signalé que de nombreux plugins avaient été ciblés par des pirates, notamment Easy WP SMTP, Abandoned Cart for WooCommerce et WP GDPR Compliance.
C’est une tendance qui ne montre aucun signe de fléchissement.
Des campagnes comme celle-ci exploitent les vulnérabilités connues des plugins WordPress et, comme toujours, mieux vaut prévenir que guérir. Vérifiez donc régulièrement que vos plugins soient bien à jour et que votre logiciel WordPress principal soit configuré pour se mettre à jour automatiquement au niveau des correctifs de sécurité.
Vous serez peut être intéressé par notre guide Sophos sur la manière d’éviter de figurer parmi les “73%” des sites WordPress vulnérables aux cyberattaques.
Si vous craignez d’avoir été victime de cette campagne, WordFence a publié une liste de plugins vulnérables et d’indicateurs de compromission (IOC).
Comme indiqué précédemment, ce qu’il faut retenir de cette dernière attaque c’est l’utilisation par l’élément wpservices
de l’email wpservices@yandex.com
. Les attaquants peuvent bien sûr changer celui-ci (et la liste des plugins visés) à leur guise.
La récupération d’un site compromis n’entre pas dans le cadre de cet article, mais si vous devez le faire, nous vous conseillons l’utilisation de sauvegardes complètes, régulières et hors site. Donc, si vous ne les avez pas déjà configurées pour votre site, faites-le dès à présent, avant d’en avoir véritablement besoin !
Billet inspiré de WordPress sites are being backdoored with rogue admin users, sur Sophos nakedsecurity.