Les sites WordPress sont la cible d’une souche inconnue de malware Linux qui exploite les failles de plus de deux douzaines de plugins et de thèmes pour compromettre les systèmes vulnérables.
« Si les sites utilisent des versions obsolètes de ces modules complémentaires, dépourvus de correctifs cruciaux, les pages Web ciblées sont injectées avec des JavaScripts malveillants », a déclaré le fournisseur de sécurité russe Doctor Web dans un rapport publié la semaine dernière. « En conséquence, lorsque les utilisateurs cliquent sur n’importe quelle zone d’une page attaquée, ils sont redirigés vers d’autres sites. »
Les attaques impliquent l’armement d’une liste de vulnérabilités de sécurité connues dans 19 plugins et thèmes différents qui sont probablement installés sur un site WordPress, en l’utilisant pour déployer un implant qui peut cibler un site Web spécifique pour étendre davantage le réseau.
Il est également capable d’injecter du code JavaScript récupéré sur un serveur distant afin de rediriger les visiteurs du site vers un site Web arbitraire au choix de l’attaquant.
Doctor Web dit avoir identifié une deuxième version de la porte dérobée, qui utilise un nouveau domaine de commande et de contrôle (C2) ainsi qu’une liste actualisée de failles couvrant 11 plugins supplémentaires, portant le total à 30.
Liste des plugins piratés
Les plugins et thèmes visés sont les suivants :
- WP Live Chat Support
- Articles associés à Yuzo
- Yellow Pencil Visual CSS Style Editor
- Easy WP SMTP
- Conformité WP GDPR
- Journal (CVE-2016-10972)
- Thim Core
- Smart Google Code Inserter (supprimé le 28 janvier 2022)
- Total Donations
- Post Custom Templates Lite
- WP Quick Booking Manager
- Chat en direct avec Messenger Customer Chat by Zotabox
- Blog Designer
- WordPress Ultimate FAQ (CVE-2019-17232 et CVE-2019-17233)
- Intégration WP-Matomo (WP-Piwik)
- ND Shortcodes
- WP Live Chat
- Page Coming Soon et mode de maintenance
- Hybride
- Brizy
- Lecteur vidéo FV Flowplayer
- WooCommerce
- Page d’accueil et mode de maintenance
- Onetone
- Simple Fields
- Delucks SEO
- Poll, Survey, Form & Quiz Maker by OpinionStage (en anglais)
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher, et
- Rich Reviews
Les deux variantes incluraient une méthode non implémentée de forçage brutal des comptes administrateurs de WordPress, bien qu’il ne soit pas clair s’il s’agit d’un vestige d’une version antérieure ou d’une fonctionnalité qui n’a pas encore vu le jour.
« Si une telle option est mise en œuvre dans les nouvelles versions de la porte dérobée, les cybercriminels seront même en mesure d’attaquer avec succès certains des sites Web qui utilisent les versions actuelles du plugin avec des vulnérabilités corrigées », a déclaré la société.
Il est recommandé aux utilisateurs de WordPress de maintenir à jour tous les composants de la plate-forme, y compris les modules complémentaires et les thèmes tiers. Il est également conseillé d’utiliser des identifiants et des mots de passe forts et uniques pour sécuriser leurs comptes.
Cette divulgation intervient quelques semaines après que Fortinet FortiGuard Labs a présenté un autre botnet appelé GoTrim, conçu pour forcer les sites Web auto-hébergés utilisant le système de gestion de contenu (CMS) WordPress afin de prendre le contrôle des systèmes ciblés.
Le mois dernier, Sucuri a constaté que plus de 15 000 sites WordPress avaient été infectés dans le cadre d’une campagne malveillante visant à rediriger les visiteurs vers de faux portails de questions-réponses. Le nombre d’infections actives s’élève actuellement à 9 314.
En juin 2022, l’entreprise de sécurité des sites Web appartenant à GoDaddy a également partagé des informations sur un système de direction du trafic (TDS) connu sous le nom de Parrot, qui a été observé en train de cibler des sites WordPress avec des JavaScript malveillants qui déposent des logiciels malveillants supplémentaires sur les systèmes piratés.