WordPress, des failles de sécurité à la merci de deux groupes de pirates
Il a été découvert en début du mois de septembre, par les sociétés de cybersécurité chargé de fournir des solutions de sécurité pour WordPress, que des attaques ont été subies par les sites reliés au CMS grâce à des vulnérabilités des type « zero-day ». Ses attaques serait l’œuvre de deux groupes de pirates informatiques.
Cet article peut aussi vous intéresser : Le célèbre forum de piratage, XakFor, fermé par la police de Biélorussie
Ils se servait d’une de ces vulnérabilités « zero day » pour modifier la configuration des sites afin de créer des comptes d’administrateurs, à des fins malveillantes. Ils créaient ainsi des portes dérobées qui leurs servaient à détourner le trafic des sites victimes. Concernant la seconde faille de sécurité, elle permettrait selon les experts de la sécurité informatique, à prendre le contrôle des sites visés. Son impact se faisait sentir principalement « sur le plugin Social Warfare ».
L’équipe de WordPress a été obligé de supprimer certaines données de plugins temporairement en attendant les correctifs de sécurité. La première vulnérabilité « zero day » toucheait un plugin exploité avant la mise en œuvre d’un patch, le « plugin WordPress Easy WP SMTP ». Ce plugin comptabilise en tout 300 milles installations actives. L’une des fonctionnalités de ce plugin, et de permettre aux éditeurs de paramétrer des emails sortant du serveur de leur site.
il faut noter que cette faille de sécurité a été découverte depuis le 15 mars 2019. C’est la firme de cybersécurité NinTechNet, la société qui est le fournisseur du pare-feu de WorldPress, « Ninja ». Le 17 mars, un correctif de sécurité avait été proposé sous la version « v1.3.9.1.». Cependant, cela n’a rien changé du tout. Les attaques ont continué ils se sont même intensifiées, car les pirates informatiques voulais prendre le maximum de site sous leur contrôle avant que les éditeurs n’appliquent le correctif de sécurité à tout le système dans son ensemble.
la question de savoir comment cela se fait-il que les pirates informatiques continuent de renouveler leur attaque alors que le pactch de sécurité a été publié, la société Defiant, éditrice de Wordference WordPress, un des pare-feu du site : « les attaques exploitent une fonctionnalité d’exportation/importation de paramètres qui a été ajoutée au plugin Easy WP SMTP lors de la version 1.3.9. (…) Il ont trouvé dans cette nouvelle fonctionnalité d’import/export une possibilité de modifier les paramètres généraux d’un site, et pas seulement ceux liés au plugin. ». La société de cybersécurité notifié que les pirates sont actuellement à la recherche des sites qui font usage de ce plugin. Une fois ceux ci détectés. il se servent de ce même plugin pour modifier les configurations qui permettront le recueil de données sur les utilisateurs du site de leurs victimes.
pour cette raison que WordPress invite tous les éditeurs de Sites Internets qui lui sont liés de mettre à jour ce plugin. Le patch de sécurité étant déjà prêt il ne manque plus que l’application diligente.
Concernant les deux groupes de pirates, il se pourrait qu’il y a des similitudes dans leurs attaques. « Les deux campagnes lancent leurs attaques initiales de manière identique, en utilisant un PoC d’exploitation détaillé dans la divulgation originale de la vulnérabilité de NinTechNet. Ces attaques correspondent exactement au PoC, jusqu’au checksum. » a notifié Défiant.
Accédez maintenant à un nombre illimité de mot de passe :