in

Des milliers de sites WordPress redirigeant les utilisateurs vers des domaines dangereux

 

Plus de 900000 sites WordPress ont été ciblés dans une nouvelle campagne d’attaque qui vise à rediriger les visiteurs vers des sites malveillants ou à planter des backdoors dans l’en-tête d’un thème si un administrateur est connecté.

La majorité de ces attaques semblent être l’œuvre d’un seul acteur de menace basé sur la charge utile JavaScript malveillante qu’ils tentent d’injecter dans les sites vulnérables. L’attaquant a également exploité des vulnérabilités plus anciennes qui leur permettaient de modifier l’URL domestique d’un site vers le même domaine utilisé dans la charge utile de cross-site scripting (XSS) afin de rediriger les visiteurs vers des sites malveillants.

Dans un article de blog, Senior QA chez Defiant, Ram Gall a fourni des informations supplémentaires sur l’ampleur de la campagne, déclarant:

« Bien que nos dossiers montrent que cet acteur de la menace a pu envoyer un plus petit volume d’attaques dans le passé, ce n’est qu’au cours des derniers jours qu’ils ont vraiment augmenté, au point où plus de 20 millions d’attaques ont été tentées contre plus de plus d’un demi-million de sites individuels au 3 mai 2020. Au cours du dernier mois au total, nous avons détecté plus de 24 000 adresses IP distinctes envoyant des demandes correspondant à ces attaques à plus de 900 000 sites.

Cibler les vulnérabilités WordPress plus anciennes

Selon Gall, l’attaquant a ciblé plusieurs vulnérabilités dans les plugins WordPress qui ont été supprimées des référentiels officiels ou corrigées au cours des dernières années.

Plus de la moitié de toutes les attaques ciblaient des sites avec le plugin Easy2Map qui contient une vulnérabilité XSS. Bien que le plugin ait été supprimé du référentiel WordPress en août 2019, il est toujours installé sur moins de 3000 sites. L’attaquant a également exploité une vulnérabilité XSS dans le plugin Blog Designer qui a été corrigé en 2019 et le thème Newspaper qui a été corrigé en 2016.

Afin de modifier l’URL d’accueil d’un site, l’attaquant a profité d’une vulnérabilité de mise à jour des options dans les plugins WP GDPR Compliance et Total Donations. WP GDPR Compliance compte plus de 100 000 installations, mais Defiant estime qu’il ne reste plus que 5 000 installations vulnérables. En revanche, le total des dons a été définitivement supprimé du marché Envato au début de 2019 et il est estimé qu’il reste moins de 1000 installations au total.

Si votre site utilise l’un de ces plugins ou thèmes, il est fortement recommandé de les mettre à jour immédiatement et de supprimer ceux qui ne figurent plus dans le référentiel WordPress officiel.

Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

Qu’est-ce que Xfinity Mobile et en vaut-il la peine?

Un «  nouveau  » téléphone Huawei est en préparation, pourrait arriver avec les applications Google