Une attaque au cours du week-end a ciblé sans succès 1,3 million de sites Web WordPress, dans le but de télécharger leurs fichiers de configuration et de récolter les informations d’identification de la base de données.
Les attaquants ont été repérés ciblant plus d’un million de sites Web WordPress dans une campagne au cours du week-end. La campagne a tenté en vain d’exploiter les anciennes vulnérabilités de script intersite (XSS) dans les plugins et les thèmes WordPress, dans le but de récolter les informations d’identification de la base de données.
Les attaques visaient à télécharger wp-config.php, un fichier essentiel à toutes les installations WordPress. Le fichier est situé à la racine des répertoires de fichiers WordPress et contient les informations d’identification de la base de données des sites Web et les informations de connexion, en plus des clés et des sels d’authentification uniques. En téléchargeant les fichiers de configuration des sites, un attaquant aurait accès à la base de données du site, où le contenu du site et les informations d’identification sont stockés, ont déclaré des chercheurs de Wordfence qui ont repéré l’attaque.
Entre le 29 et le 31 mai, les chercheurs ont observé (et ont pu bloquer) plus de 130 millions d’attaques ciblant 1,3 million de sites.
Le pic de cette campagne d’attaque s’est produit le 30 mai 2020 », ont déclaré mercredi des chercheurs de Wordfence. «À ce stade, les attaques de cette campagne ont représenté 75% de toutes les tentatives d’exploitation des vulnérabilités des plugins et des thèmes dans l’écosystème WordPress.»
Les chercheurs ont lié l’acteur de la menace dans cet incident à une attaque plus tôt en mai ciblant précédemment des vulnérabilités XSS. Ces campagnes précédentes, qui ont commencé le 28 avril, tentaient d’injecter un code JavaScript malveillant dans les sites Web, qui redirigerait ensuite les visiteurs et profiterait d’une session administrateur pour insérer une porte dérobée dans l’en-tête du thème.
“Après une enquête plus approfondie, nous avons constaté que cet acteur de la menace attaquait également d’autres vulnérabilités, principalement des vulnérabilités plus anciennes leur permettant de modifier l’URL de la maison d’un site vers le même domaine utilisé dans la charge utile XSS afin de rediriger les visiteurs vers des sites malvertisants”, ont déclaré des chercheurs à le temps.
Cette campagne a provoqué des attaques de plus de 20 000 adresses IP différentes, ont déclaré des chercheurs. Cette campagne la plus récente utilise les mêmes adresses IP, qui représentaient la majorité des attaques et des sites ciblés, ce qui a conduit les chercheurs à lier les deux campagnes.
La campagne la plus récente a également élargi son ciblage, selon les chercheurs, atteignant maintenant près d’un million de nouveaux sites qui n’étaient pas inclus dans la campagne XSS précédente. Comme pour les campagnes XSS, presque toutes les attaques visent des vulnérabilités plus anciennes dans des plugins ou des thèmes obsolètes qui permettent de télécharger ou d’exporter des fichiers.
Alors que des centaines d’exploits sont tentés, les chercheurs ont déclaré à Threatpost que parmi les CVE les plus fréquemment utilisées, il y avait CVE-2014-9734, CVE-2015-9406, CVE-2015-5468 et CVE-2019-9618. L’attaquant semble systématiquement éliminer exploit-db.com et d’autres sources d’exploits potentiels – puis les exécuter sur une liste de sites, ont déclaré des chercheurs à Threatpost.
“La plupart d’entre eux sont dans des thèmes ou des plugins conçus pour permettre le téléchargement de fichiers en lisant le contenu d’un fichier fourni dans une chaîne de requête, puis en le servant comme pièce jointe téléchargeable”, a déclaré Ram Gall, avec Wordfence.
Les chercheurs ont déclaré que les sites Web qui pourraient avoir été compromis doivent changer leur mot de passe de base de données et leurs clés et sels uniques d’authentification immédiatement.
«Si votre serveur est configuré pour autoriser l’accès à la base de données à distance, un attaquant avec vos informations d’identification de base de données pourrait facilement ajouter un utilisateur administratif, exfiltrer des données sensibles ou supprimer complètement votre site. Même si votre site n’autorise pas l’accès à une base de données à distance, un attaquant qui connaît les clés d’authentification et les sels de votre site pourrait être en mesure de les utiliser pour contourner plus facilement d’autres mécanismes de sécurité. ”
Les chercheurs ont également exhorté les utilisateurs à s’assurer que leurs plugins sont mis à jour, car les vulnérabilités dans les plugins et les thèmes WordPress continuent d’être un problème. Il y a quelques semaines, par exemple, les chercheurs ont révélé deux failles dans Page Builder de SiteOrigin, un plugin WordPress avec un million d’installations actives utilisées pour créer des sites Web via une fonction glisser-déposer. Les deux bogues de sécurité peuvent entraîner la falsification de requêtes intersites (CSRF) et XSS.
Dans cette récente campagne, de nombreux défauts avaient des correctifs disponibles – mais les utilisateurs n’avaient pas mis à jour, laissant leurs sites Web vulnérables: «Néanmoins, nous vous invitons à vous assurer que tous les plugins et thèmes sont mis à jour et à partager ces informations avec tous les autres propriétaires ou administrateurs de sites que vous connaissez », ont déclaré des chercheurs. «Les attaques de cet acteur de la menace évoluent et nous continuerons à partager des informations supplémentaires à mesure qu’elles seront disponibles.»
source : threatpost.com
Author:
Lindsey O’Donnell
June 3, 2020 4:37 pm
La maintenance de votre site WordPress permet des mises à jour régulières afin d’éviter les bugs et les problèmes de piratage.
Nous solutions de maintenance WordPress à partir de 39€ ht/ mois