Les équipes Wordfence Threat Intelligence et Site Cleaning ont suivi une campagne de malware qui redirige tous les visiteurs du site vers des domaines malveillants, tout en essayant de garder les administrateurs du site inconscients de l’infection. Depuis le 1er juin 2021, le nombre de sites que nous suivons qui ont été infectés par ce malware a plus que doublé, et nous nous attendons à ce que cette campagne continue de prendre de l’ampleur car elle repose sur un mécanisme difficile à bloquer directement.

Jetpack est l’un des plugins les plus populaires du référentiel WordPress, et il possède un éventail vertigineux de fonctionnalités qui obligent les utilisateurs à connecter leurs sites à un compte WordPress.com. L’une de ces fonctionnalités permet aux utilisateurs connectés à WordPress.com d’effectuer des tâches administratives, y compris l’installation de plugins, sur des sites connectés à WordPress.com via Jetpack.

Malheureusement, cela signifie que si les informations d’identification d’un compte WordPress.com sont compromises, un attaquant peut se connecter à ce compte WordPress.com et installer des plugins arbitraires sur le site WordPress connecté, peu importe où il est hébergé. Cela inclut le plugin malveillant utilisé dans cette campagne. Nous avons écrit sur ce vecteur d’intrusion dans le passé, et il regagne en popularité en raison d’un certain nombre de violations de données récentes provenant d’autres services.

Pour clarifier, aucune violation de données n’a eu lieu sur WordPress.com lui-même. Cependant, la réutilisation des mots de passe est incroyablement courante et les informations d’identification obtenues à partir de violations de données récentes sont susceptibles d’accorder l’accès à un certain nombre de comptes d’utilisateurs WordPress.com. De plus, bien qu’il soit possible de configurer Jetpack pour permettre la connexion directe à un site via les informations d’identification WordPress.com, ce paramètre n’a pas besoin d’être activé pour qu’un site soit vulnérable. Tout ce qui est requis est qu’un site soit connecté à un compte WordPress.com qui a des informations d’identification compromises.

Que devrais-je faire?

Si vous utilisez Jetpack, vous devez activer l’authentification à 2 facteurs sur WordPress.com. Bien que nous recommandons fortement d’utiliser une application mobile ou une clé de sécurité pour cela, même l’authentification à 2 facteurs basée sur SMS est nettement plus sécurisée que de se fier uniquement aux mots de passe.

Si vous utilisez le même mot de passe pour votre compte WordPress.com que vous avez utilisé pour quelconque autre service, changez immédiatement votre mot de passe WordPress.com.

Si votre site a été compromis, nous avons publié un guide utile pour vous aider nettoyer votre site WordPress avec Wordfence. La restauration à partir d’une sauvegarde récente peut certainement être une option si vous pouvez identifier la dernière sauvegarde propre connue. L’examen de vos fichiers journaux peut vous aider.

Si vous souhaitez obtenir de l’aide pour restaurer les fonctionnalités de votre site, notre Nettoyage du site l’équipe peut vous aider. Tous les clients de nettoyage de site Wordfence reçoivent un Wordfence Premium clé de licence pour protéger le site à l’avenir ainsi qu’une garantie d’un an. Si le site est à nouveau compromis après avoir suivi les recommandations, nous le nettoierons à nouveau gratuitement.

Indicateurs de compromis

La majorité des infections que nous avons vues ont le plugin et les noms de fichiers suivants :

wp-content/plugins/Plugin/plug.php
wp-content/plugins/plugs/plugs.php
wp-content/plugins/Builder/Builder.php

Les hachages MD5 les plus courants associés à cette campagne sont :

8378f4e6c5d3941f00c70715713ce299
e7138bb2cd788dfba7ccfdc43e81065f
1288a440de78d25860809dde12f1dfa5
a5a0e5ab2381d5dedff1e91480d2b5d4
256e92647f880ad60f381a5a9cf66be7

Ces plugins malveillants vérifient si le visiteur du site est sur la page de connexion ou s’il est connecté en tant qu’administrateur. Tout visiteur qui ne répond pas à ces critères sera alors redirigé vers l’un des quelques dizaines de domaines punycode malveillants.

Nous avons répertorié les domaines associés à la variante la plus répandue :

xn--i1abh6c[.]xn--p1ai
xn--80adzf[.]xn--p1ai
xn--o1aofd[.]xn--p1ai
xn--g1aey4a[.]xn--p1ai
xn--80ady8a[.]xn--p1ai
xn--g1asqf[.]xn--p1ai

Conclusion

Dans l’article d’aujourd’hui, nous avons couvert une campagne de malware ciblant les sites connectés à WordPress.com via le plugin JetPack. Comme cette campagne dépend des informations d’identification WordPress.com compromises, il n’est pas possible de bloquer ce type d’attaque directement, mais cela ne veut pas dire que vous ne pouvez rien faire.

À l’heure actuelle, nous recommandons à tous les propriétaires de sites utilisant le plug-in Jetpack activer l’authentification à 2 facteurs pour leurs comptes WordPress.com et modifier leurs mots de passe WordPress.com s’ils utilisent un mot de passe qui a été utilisé pour tout autre service. Si vous n’utilisez pas activement Jetpack, vous devez déconnecter votre site de WordPress.com ou désactiver le plugin Jetpack.

Un merci spécial à l’analyste de sécurité Charles Sweethill pour avoir suivi ce problème et aidé à rédiger l’article.


Source link