Aujourd’hui, le 9 décembre 2021, notre équipe Threat Intelligence a remarqué une hausse drastique des attaques ciblant les vulnérabilités qui permettent aux attaquants de mettre à jour des options arbitraires sur les sites vulnérables. Cela nous a conduits à une enquête qui a révélé une attaque active ciblant plus d’un million de sites WordPress. Au cours des 36 dernières heures, le réseau Wordfence a bloqué plus de 13,7 millions d’attaques ciblant quatre plugins différents et plusieurs thèmes Epsilon Framework sur plus de 1,6 million de sites et provenant de plus de 16 000 adresses IP différentes.

Les utilisateurs de Wordfence Premium sont protégés contre toute tentative d’exploitation ciblant toutes ces vulnérabilités. Les utilisateurs sans Wordfence sont protégés contre les attaques ciblant toutes les vulnérabilités, à l’exception de la vulnérabilité récemment divulguée dans PublishPress Capabilities. Les utilisateurs de Wordfence Premium ont reçu une règle de pare-feu pour la vulnérabilité de mise à jour des options arbitraires non authentifiées dans PublishPress Capabilities le 6 décembre 2021, et les sites qui exécutent toujours la version gratuite de Wordfence recevront la règle du pare-feu le 6 janvier 2021.

Un examen plus approfondi des données d’attaque

Les attaquants ciblent 4 plugins individuels avec des vulnérabilités de mise à jour des options arbitraires non authentifiées. Les quatre plugins se composent de Kiwi Social Share, qui a été corrigé depuis le 12 novembre 2018, WordPress Automatic et Pinterest Automatic qui ont été corrigés depuis le 23 août 2021, et PublishPress Capabilities qui a récemment été patché le 6 décembre 2021. En outre, ils ciblent une vulnérabilité d’injection de fonction dans divers thèmes Epsilon Framework dans le but de mettre à jour des options arbitraires.

In most cases, the attackers are updating the users_can_register option to enabled and setting the default_role option to `administrator.` This makes it possible for attackers to register on any site as an administrator effectively taking over the site.

Nos données d’attaque indiquent qu’il y a eu très peu d’activités de la part d’attaquants ciblant l’une de ces vulnérabilités jusqu’au 8 décembre 2021. Cela nous porte à croire que la vulnérabilité récemment corrigée dans PublishPress Capabilities a peut-être incité les attaquants à cibler diverses vulnérabilités de mise à jour des options arbitraires dans le cadre d’une campagne massive.

Les 10 PI les plus incriminées au cours des 36 dernières heures comprennent :

• 144.91.111.6 avec 430 067 attaques bloquées.
• 185.9.156.158 avec 277 111 attaques bloquées.
• 195,2.76.246 avec 274 574 attaques bloquées.
• 37.187.137.177 avec 216 888 attaques bloquées.
• 51.75.123.243 avec 205 143 attaques bloquées.
• 185.200.241.249 avec 194 979 attaques bloquées.
• 62.171.130.153 avec 192 778 attaques bloquées.
• 185.93.181.158 avec 181 508 attaques bloquées.
• 188.120.230.132 avec 158 873 attaques bloquées.
• 104.251.211.115 avec 153 350 attaques bloquées.

Comment puis-je protéger mon site ?

En raison de la gravité de ces vulnérabilités et de la campagne massive qui les cible, il est extrêmement important de s’assurer que votre site est protégé contre les compromissions. Si votre site exécute Wordfence Premium, il est déjà protégé contre toute tentative d’exploitation ciblant l’une de ces vulnérabilités. Si votre site exécute la version gratuite de Wordfence, il est protégé contre tout exploit ciblant l’une des vulnérabilités, à l’exception de la vulnérabilité récemment corrigée dans PublishPress Capabilities. Les sites exécutant Wordfence Free recevront la règle du pare-feu pour PublishPress Capabilities le 6 janvier 2021, soit 30 jours après les utilisateurs de Wordfence Premium.

Quelle que soit la protection fournie par Wordfence, nous vous recommandons fortement de nous assurer que tous les sites exécutant l’un de ces plugins ou thèmes ont été mis à jour vers la version corrigée. Nous avons les versions concernées de chaque produit décrites ci-dessous. Veuillez vous assurer que vos sites exécutent une version supérieure à celle de celles répertoriées. La simple mise à jour des plugins et des thèmes garantira que votre site reste à l’abri de toute compromission contre tout exploit ciblant ces vulnérabilités.

Voici les plugins concernés et leurs versions :

• Publier les capacités de presse <= 2,3
• Plugin social Kiwi <= 2.0.10
• Pinterest Automatique <= 4.14.3
• WordPress Automatique <= 3.53.2

Voici les versions de thème Epsilon Framework concernées :

• Façonné <=1.2.8
• NewsMag <=2.4.1
• Activello <=1.4.1
• Maladie <=2.1.6
• Allégiant <=1.2.5
• Journal X <=1.3.1
• Pixova Lite <=2.0.6
• Brillant <=1.2.9
• MedZone Lite <=1.2.5
• Regina Lite <=2.0.5
• Transcend <=1.1.9
• Aluent <1.1.0
• Bonkers <=1,0,5
• Antreas <=1,0.6
• NatureMag Lite – Aucun patch connu. Recommandé de désinstaller du site.

Comment puis-je savoir si mon site a été infecté et que dois-je faire ?

As previously stated, the attackers are updating the users_can_register option to enabled and setting the default_role option to `administrator` in most cases.

Pour déterminer si un site a été compromis par ces vulnérabilités, nous vous recommandons d’examiner les comptes d’utilisateur sur le site pour déterminer s’il existe des comptes d’utilisateur non autorisés. Si le site exécute une version vulnérable de l’un des quatre plugins ou de divers thèmes, et qu’il y a un compte d’utilisateur voyou présent, alors le site a probablement été compromis via l’un de ces plugins. Veuillez supprimer immédiatement tous les comptes d’utilisateur détectés.

Il est également important de revoir les paramètres du site et de s’assurer qu’ils ont été ramenés à leur état d’origine. Vous pouvez trouver ces paramètres en allant sur la page http://examplesite[.]com/wp-admin/options-general.php. Veuillez vous assurer que le paramètre `Membership` est correctement défini sur activé ou désactivé, en fonction de votre site, et validez que le `Nouveau rôle par défaut de l’utilisateur` est correctement défini. Nous vous recommandons fortement de ne pas utiliser `Administrator` pour le nouveau rôle par défaut de l’utilisateur, car cela peut conduire à une compromission inévitable du site.

Veuillez consulter ce guide pour nettoyer un site piraté avec Wordfence pour terminer le nettoyage du site une fois que le vecteur d’intrusion a été déterminé et que les problèmes immédiats ont été résolus. Si l’ensemble du site n’est pas scanné et nettoyé pour s’assurer qu’il n’y a pas de portes dérobées supplémentaires, il peut être possible pour un attaquant de retrouver l’accès au site.

Si vous souhaitez obtenir de l’aide pour nettoyer un site compromis par l’un de ces plugins, nous vous recommandons d’utiliser nos services professionnels de nettoyage de site pour vous aider à remettre votre site en ligne.

Conclusion

Dans le post d’aujourd’hui, nous avons détaillé une campagne d’attaque active ciblant divers plugins et thèmes qui permettent aux attaquants de prendre efficacement le contrôle des sites vulnérables grâce à l’utilisation d’une mise à jour arbitraire des options. Nous vous recommandons fortement de vous assurer que tous vos sites ont été mis à jour vers les versions corrigées des plugins et des thèmes.

Nous vous recommandons également de partager cet article au sein de la communauté WordPress pour sensibiliser les propriétaires de sites à cette campagne d’attaque et à la façon de la défendre.

Nous pouvons mettre à jour cet article à mesure que nous recevons de nouvelles informations.