Les sites WordPress sont ciblés par une souche de logiciels malveillants Linux jusque-là inconnue qui exploite les failles de plus de deux douzaines de plugins et de thèmes pour compromettre les systèmes vulnérables.
« Si les sites utilisent des versions obsolètes de ces modules complémentaires, manquant de correctifs cruciaux, les pages Web ciblées sont injectées avec des JavaScripts malveillants », a déclaré le fournisseur de sécurité russe Doctor Web. m’a dit dans un rapport publié la semaine dernière. « En conséquence, lorsque les utilisateurs cliquent sur n’importe quelle zone d’une page attaquée, ils sont redirigés vers d’autres sites. »
Les attaques impliquent de militariser une liste de vulnérabilités de sécurité connues dans 19 plugins et thèmes différents qui sont probablement installés sur un site WordPress, en l’utilisant pour déployer un implant qui peut cibler un site Web spécifique pour étendre davantage le réseau.
Il est également capable d’injecter du code JavaScript récupéré à partir d’un serveur distant afin de rediriger les visiteurs du site vers un site Web arbitraire au choix de l’attaquant.
Doctor Web a déclaré avoir identifié une deuxième version de la porte dérobée, qui utilise un nouveau domaine de commande et de contrôle (C2) ainsi qu’une liste mise à jour de failles couvrant 11 plugins supplémentaires, portant le total à 30.
Les plugins et thèmes ciblés sont ci-dessous –
- Support de chat en direct WP
- Articles liés à Yuzo
- Éditeur de style CSS visuel au crayon jaune
- WP SMTP facile
- Conformité WP RGPD
- Journal (CVE-2016-10972)
- Ce noyau
- Inserteur intelligent de code Google (abandonné au 28 janvier 2022)
- Total des dons
- Poster des modèles personnalisés Lite
- Gestionnaire de réservation rapide WP
- Chat en direct avec Messenger Customer Chat par Zotabox
- Concepteur de blogs
- FAQ WordPress Ultime (CVE-2019-17232 et CVE-2019-17233)
- Intégration WP-Matomo (WP-Piwik)
- Codes abrégés ND
- Chat en direct WP
- Page à venir et mode maintenance
- Hybride
- Brizy
- Lecteur vidéo FV Flowplayer
- WooCommerce
- Page à venir et mode de maintenance
- Onetone
- Champs simples
- Deucks SEO
- Créateur de sondages, d’enquêtes, de formulaires et de quiz par OpinionStage
- Suivi des mesures sociales
- Récupérateur de flux RSS WPeMatico, et
- Avis riches
On dit que les deux variantes incluent une méthode non implémentée pour forcer brutalement les comptes d’administrateur WordPress, bien qu’il ne soit pas clair s’il s’agit d’un vestige d’une version antérieure ou d’une fonctionnalité qui n’a pas encore vu le jour.
« Si une telle option est implémentée dans les nouvelles versions de la porte dérobée, les cybercriminels pourront même attaquer avec succès certains de ces sites Web qui utilisent les versions actuelles du plug-in avec des vulnérabilités corrigées », a déclaré la société.
Il est recommandé aux utilisateurs de WordPress de maintenir à jour tous les composants de la plate-forme, y compris les modules complémentaires et les thèmes tiers. Il est également conseillé d’utiliser des identifiants et des mots de passe forts et uniques pour sécuriser leurs comptes.
La divulgation intervient des semaines après que Fortinet FortiGuard Labs a détaillé un autre botnet appelé GoTrim qui est conçu pour forcer brutalement les sites Web auto-hébergés en utilisant le système de gestion de contenu (CMS) WordPress pour prendre le contrôle des systèmes ciblés.
Le mois dernier, Sucuri a noté que plus de 15 000 sites WordPress avaient été piratés dans le cadre d’une campagne malveillante visant à rediriger les visiteurs vers de faux portails de questions-réponses. Le nombre d’infections actives se dresse actuellement à 9 314.
La société de sécurité de sites Web appartenant à GoDaddy, en juin 2022, a également partagé des informations sur un système de direction du trafic (TDS) connu sous le nom de Parrot qui a été observé ciblant des sites WordPress avec du JavaScript malveillant qui dépose des logiciels malveillants supplémentaires sur des systèmes piratés.
