Nouvelles infections et attaques par force brute contre WordPress

Au cours de la dernière semaine, des milliers de sites sous WordPress ont été victimes d’infections et d’attaques par force brute.

D’après les observations de Sucuri, les programmes malveillants dont le code source est fortement obfusqué attaquent les ressources dotées de plug-ins vulnérables ou de mots de passe d’administrateur faibles. Il convient de noter que l’introduction de la charge utile s’opère à l’aveugle ; le code PHP bourré d’erreurs touche non seulement les fichiers du noyau WordPress, mais également les fichiers de ces plug-ins. Le contenu légitime du site cesse d’être accessible en raison d’une avalanche de messages contextuels relatifs à diverses erreurs PHP, par exemple :

Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php on line 91

Il se fait que la cause principale de l’explosion des injections malveillantes est une vulnérabilité découverte récemment dans le plug-in MailPoet. Tous les sites touchés par la campagne en cours utilisent ce plug-in ou sont hébergés aux côtés de sites dotés de ce plug-in. L’attaque débute toujours par une tentative de téléchargement d’un fichier de thème spécialement conçu ; si la tentative réussi, une porte dérobée est installée sur le site. Celle-ci crée un compte utilisateur avec les autorisations d’administrateur et insère le code de la porte dérobée dans tous les fichiers du thème et dans le noyau. Malheureusement, le programme malveillant écrase les fichiers légitimes au cours du processus et d’après les experts, il n’existe qu’une seule façon de résoudre le problème : purger le code malveillant et restaurer les fichiers au départ d’une sauvegarde.

Le responsable des attaques par force brute à grande échelle observées par Sucuri et SANS est selon toute vraisemblance xmlrpc.php, la même bibliothèque PHP qui avait permis au printemps à des individus malintentionnés de réaliser une série d’attaques DDoS depuis des sites WordPress. Dans le cadre de la campagne actuelle, les individus malintentionnés utilisent la fonction wp.getUsersBlogs XMLRPC. Les exemples de requêtes publiés par Daniel Weiseman dans le journal InfoSec Handlers Diary Blog de l’institutt SANS illustrent clairement les tentatives de craquage du mot de passe (admin, admin 123) sur le site attaqué :

Capture d’écran publiée par Robert Paprocki sur cryptobells.com et envoyée ensuite aux experts de SANS.

D’après les experts, les attaques par force brute antérieures étaient toujours organisées via une requête adressée à wp-login.php et les outils de protection spécialisés, tels que le plug-in BruteProtect, sont en mesure de les déjouer. L’utilisation de XMLRPC accélère le processus et permet de déjouer ces mesures de protection. "La majorité de ces plug-ins ne suit que wp_login.php en rapport avec le résultat wp_login_failed, ils ne réagissent pas à l’erreur d’ouverture de session au format XMLRPC" explique Daniel Weiseman. L’expert insiste également sur le point que l’analyse des journaux HTTP sur le serveur ne permettra pas non plus de se rendre compte de ce qui se passe : le serveur Web accepte sans problème les requêtes des individus malintentionnés et transmet simplement le message XML prévue : "403 – Not Authorized".

Sucuri enregistre des centaines de tentatives d’attaque par force brute par jour qui reposent sur différentes combinaisons de nom d’utilisateur et de mot de passe. D’après les experts, le nombre de ces tentatives a été multiplié par 10 depuis le mois de juillet ; au cours de la période écoulée, ils ont comptabilisé près d’un millions d’attaques de 17 000 adresses IP de sources. La liste des mots de passe utilisés par les attaquants est standard car lors de l’identification du nom d’utilisateur, ils utilisent souvent le nom de domaine ou tentent de deviner le nom de l’administrateur.

L’équipe de WordPress a entretemps invité les utilisateurs à renforcer les mots de passe et à adopter les mesures de renforcement de la sécurité reprises dans la section dédiée du site WordPress.org.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *