Un nouveau malware Linux exploite les portes dérobées de plus de 30 plugins sur des sites WordPress
L’émergence récente d’un nouveau logiciel malveillant Linux est une source d’inquiétude parmi les webmasters et les administrateurs de sites Web. Le code malveillant inconnu exploite plus de 30 plugins pour accéder par porte dérobée aux sites WordPress. Selon les experts en cybersécurité, cet exploit pourrait être utilisé par les pirates pour des activités malveillantes allant du vol et de la manipulation de données aux attaques par déni de service distribué (DDoS).
Le logiciel malveillant est conçu avec des capacités d’évasion sophistiquées pour contourner la plupart des solutions anti-malware. Il cible principalement les sites Web WordPress exécutant des plugins vulnérables ou ceux qui n’installent pas les derniers correctifs. Cet exploit inconnu recherche également les sites WordPress mal configurés avec des pages d’authentification exposées et effectue des attaques par force brute contre eux pour pénétrer dans ces systèmes. Une fois à l’intérieur, il procède à la mise en place d’un accès par porte dérobée, que les attaquants à distance peuvent exploiter à tout moment.
Les plugins et thèmes ciblés sont les suivants :
- WP Plugin d’assistance par chat en direct
- Plugin de conformité WP GDPR
- WordPress – Yuzo Articles Similaires
- Yellow Pencil Visual Theme Customizer Plugin
- Hybride
- Facilité d’utilisation
- Plugin de conformité WP GDPR
- Thème de journal sur le contrôle d’accès WordPress (CVE-2016-10972)
- Noyau de Thim
- Chat en direct Faceboor par Zotabox
- Inséreur de code Google
- Plugin de dons totaux
- Publier des modèles personnalisés Lite
- Responsable des réservations rapides WP
- Page et mode de maintenance
- Chat en direct Faceboor par Zotabox
- Blog Designer WordPress Plugin
- FAQ WordPress Ultimate (CVE-2019-17232 et CVE-2019-17233)
- Intégration WP-Matomo (WP-Piwik)
- Shortcodes WordPress ND pour Visual Composer
- Chat en direct WP
- Page et mode de maintenance
Supposons que le site Web ciblé exécute une version obsolète et vulnérable de l’un des plugins ci-dessus. Dans ce cas, le logiciel malveillant récupère automatiquement le code JavaScript malveillant à partir de son serveur de commande et de contrôle (C2) et injecte le script dans le site du site Web.
Les pages infectées servent de redirections vers un emplacement choisi par l’attaquant, ce qui permet de mieux fonctionner sur les sites abandonnés.
Ces redirections peuvent servir à des campagnes de phishing, de distribution de logiciels malveillants et de publicités malveillantes pour éviter la détection et le blocage. Cela dit, les opérateurs de l’auto-injecteur pourraient vendre leurs services à d’autres cybercriminels.
Une version mise à jour de la charge utile cible également les add-ons WordPress suivants :
- Brizy WordPress Plugin
- Lecteur vidéo FV Flowplayer
- WooCommerce (en anglais)
- Page WordPress à venir
- Thème WordPress OneTone
- Simple Fields WordPress Plugin
- Lecteur vidéo FV Flowplayer
- Plugin WordPress Delucks SEO
- Créateur de sondages, d’enquêtes, de formulaires et de quiz par OpinionStage
- Suivi des mesures sociales
- Plugin d’avis enrichis
- WPeMatico Récupérateur de flux RSS
- Plugin d’avis enrichis
Pour se défendre contre cette menace, les administrateurs des sites Web WordPress doivent mettre à jour vers la dernière version disponible des thèmes et des plugins fonctionnant sur le site et remplacer ceux qui ne sont plus développés par des alternatives prises en charge.
L’utilisation de mots de passe forts et l’activation du mécanisme d’authentification à deux facteurs devraient garantir une protection contre les attaques par force brute.
