Plusieurs millions de sites WordPress piratés à cause d’une vulnérabilité zero-day sur un plugin
La semaine dernière, des millions de sites WordPress ont été visés par des cyberattaques, d’après la révélation de l’entreprise cyberdéfense Defiant, à l’origine du pare-feu web Wordfence. Cette cyberattaque a eu lieu à cause d’une faille zero-day dans un plugin de gestion de fichiers (installé sur plus de 700 000 sites) qui a pu être exploitée par des hackers.
Cette faille « zero-day » est en réalité un bug de téléchargement de fichiers non authentifié qui permet aux attaquants de télécharger des fichiers malveillants sur un site utilisant une ancienne version du plugin « File Manager ».
A chaque découverte d’un site qui utilisait ce plugin, les attaquants pouvaient exploiter la vulnérabilité en téléchargeant un script de type web shell, déguisé en fichier image, au niveau du serveur de la victime. De ce fait, ceci leur a permis de s’emparer du site de la victime, grâce à un piège dans un botnet.
Un analyste des menaces chez Defiant, M. Ram Gall, a révélé que les attaques contre cette faille ont considérablement augmenté ces derniers jours. Les attaques ont commencé lentement, mais ont vu une accélération notable dans le courant de la semaine, affectant ainsi 1 million de sites WordPress vendredi dernier.
Depuis le 1er septembre 2020, Ram Gall a confirmé que la société Defiant a bloqué des attaques visant plus d’1.7 millions de sites, soit plus de la moitié du nombre de sites WordPress utilisant le pare-feu web Wordfence. Selon Gall, la vraie ampleur de ces attaques est plus importante encore, étant donné que WordPress est installé sur plusieurs centaines de sites, ayant probablement tous été piratés au fil du temps.
Ce qui est rassurant, c’est qu’un patch « zero-day » a été créé et publié par l’équipe de développeurs de File Manager, le jour de la découverte de l’existence des attaques. Le correctif a été installé par quelques propriétaires de sites mais pas par d’autres, ce qui a incité l’équipe de développeurs WordPress à ajouter une option de mise à jour automatique dédiée aux thèmes et aux plugins WordPress.
A partir de la version 5.5 de WordPress, il est possible de configurer les plugins ainsi que les thèmes afin de profiter de la mise à jour automatique, et être sûr que le site utilise toujours la version la plus récente d’un thème ou d’un plugin, tout en étant protégé contre les attaques.