L’hiver apporte un certain nombre de vacances en peu de temps, et de nombreuses organisations ferment ou dirigent une équipe réduite pendant une semaine ou plus à la fin de l’année et au début de la nouvelle année. Cela permet aux attaquants potentiels de réussir plus facilement, car les systèmes ne sont pas surveillés de près. Cela signifie que pendant les grandes vacances, il n’est pas rare de voir des pics de tentatives d’attaque.

Nous avons observé des pics de trafic d’attaque pour deux de nos règles de pare-feu pendant les vacances de Noël et du Nouvel An, qui sont abordés plus en détail ci-dessous. Les pointes de ces règles semblent assez différentes les unes des autres. Ce qu’ils ont en commun, c’est que les meilleures défenses sont la sécurisation proactive de votre site Web et la mise à jour du noyau, des thèmes et des plugins de WordPress.

Pics ciblés : plugin du gestionnaire de téléchargements

Il y a eu deux pics ciblant spécifiquement le plugin Downloads Manager de Giulio Ganci. Le premier pic a eu lieu le 24 décembre 2022, avec un deuxième pic le 4 janvier 2023. Au cours de la période de rapport de 30 jours, seulement 17 tentatives de recherche readme.txt ou alors debug.log les fichiers ne ciblaient pas le plugin Downloads Manager. En moyenne, la règle qui bloque ces analyses bloque en moyenne 7 515 876 ​​tentatives d’analyse par jour. Le premier pic a vu 92 546 995 tentatives de scan, et le deuxième pic a grimpé à 118 780 958 tentatives de scan en une seule journée.

tableau des tentatives d'attaque bloquées ciblant le plugin Downloads Manager par jour

Au cours de la période de référence, nous avons suivi 466 827 adresses IP attaquantes. Ces adresses IP ont tenté d’exploiter les vulnérabilités de 2 663 905 sites Web protégés. Les 10 principales adresses IP ont été responsables de 90 693 836 tentatives d’exploitation au cours de la période de référence.

tableau des dix principales adresses IP ciblant le plugin Downloads Manager

Les chaînes d’agents utilisateurs observées étaient largement connues comme agents utilisateurs légitimes, bien que certaines semblent avoir été modifiées. Les dix principaux agents utilisateurs représentaient 306 845 888 du total des tentatives d’exploitation au cours de cette période.

Au cours de ces pics, les analyses recherchaient spécifiquement les fichiers readme.txt dans le /wp-content/plugins/downloads-manager/ répertoire du site. Lorsqu’ils sont trouvés, ils tentent principalement de télécharger le shell Mister Spy Bot V7 avec un nom de fichier similaire à up__jpodv.phpoù les cinq derniers caractères du nom sont des lettres aléatoires, ou le shell Sabre BOT V1 avec un nom de fichier de saber.php comme charge utile malveillante.

La vulnérabilité que les attaquants potentiels tentent d’exploiter est une vulnérabilité de téléchargement de fichiers arbitraire trouvée dans Downloads Manager <= 0.2. Un manque de validation adéquate a rendu possible le téléchargement et l'exécution de fichiers sur un site Web vulnérable. Cela pouvait conduire à l'exécution de code à distance sur certains sites. La vulnérabilité a été publiée publiquement en 2008 et n'a jamais été corrigée. Le plugin a depuis été fermé et n'est plus disponible. Si ce plugin est toujours utilisé, il doit être supprimé immédiatement. Notez qu'il ne s'agit pas du plugin WordPress Download Manager de W3 Eden, qui est toujours en cours de développement et doit simplement être mis à jour avec les dernières versions au fur et à mesure de leur publication.

Monsieur Espion Bot V7

Le shell Mister Spy renvoie des informations de base sur le système d’exploitation sur lequel le site Web s’exécute et sur l’emplacement de la racine du site sur ce système, et permet de télécharger des fichiers. En plus de ces fonctionnalités, les charges utiles de Mister Spy incluent généralement un shell inversé qui permet à un attaquant réussi d’obtenir des informations supplémentaires sur le système de gestion de contenu utilisé sur le site Web, d’installer des shells supplémentaires, de défigurer le site Web, d’enregistrer des utilisateurs malveillants sur le site Web et collecter les détails de configuration, entre autres fonctionnalités.

capture d'écran de Mister Spy Bot Webshell

Sabre BOT V1

Saber BOT donne à un attaquant réussi la possibilité de visualiser les fichiers et de modifier leurs autorisations et noms de fichiers, ainsi que de modifier ou de supprimer les fichiers. Le chemin actuel est affiché dans l’interface Web et un formulaire de téléchargement est également fourni. Bien qu’il ne soit pas aussi sophistiqué que Mister Spy Bot V7, Saber BOT V1 peut toujours conduire à l’exécution de code à distance en raison des capacités de téléchargement de fichiers.

Capture d'écran du Webshell Saber BOT

Pics non ciblés : agents utilisateurs connus

Les tentatives d’attaque que nous avons vues et qui ne ciblaient pas un plugin spécifique ont été bloquées en raison de l’utilisation de chaînes d’agent utilisateur malveillantes connues. Ces pics n’étaient pas aussi prononcés que les pics ciblés que nous avons vus et se sont produits à des jours légèrement différents. Le nombre total d’attaques bloquées a augmenté à partir du 22 décembre 2022 et est resté légèrement supérieur pendant le reste de la période de référence. Au cours de cette période, nous avons également vu trois pics les 23 et 24 décembre, le 29 décembre et le 2 janvier. Le pic du 2 janvier 2023 a été le plus important, atteignant 183 097 778 tentatives d’attaques bloquées. Cela a mis le pic à près de trois fois plus de tentatives que la moyenne de 66 669 317 bloquées par jour.

tableau des tentatives d'attaque bloquées par des agents utilisateurs malveillants connus par jour

Les tentatives d’attaque bloquées par cette règle de pare-feu étaient beaucoup plus variées et n’ont pas montré d’augmentation de charges utiles ou de vecteurs d’intrusion spécifiques. Au lieu de cela, l’augmentation semble avoir été une simple augmentation du volume de tentatives d’attaque pour tous les types d’attaques par des acteurs utilisant des agents utilisateurs malveillants connus. L’un des types d’attaques les plus courants bloqués pour l’utilisation d’une chaîne d’agent utilisateur malveillante connue consiste à rechercher des webshells cachés.

Cyber ​​observables

Les observables suivants peuvent être utilisés conjointement avec d’autres indicateurs pour indiquer qu’un compromis a pu se produire.

Noms de fichiers

Le nom de fichier de Mister Spy Bot V7 suit un modèle de up__xxxxx.php, où xxxxx est remplacé par un ensemble aléatoire de cinq lettres minuscules. Saber BOT V1 a toujours été nommé saber.php dans ces pointes.

  • up__jpodv.php
  • up__bxyev.php
  • up__izlxc.php
  • sabre.php

Top 10 des adresses IP ciblant le gestionnaire de téléchargements

  • 158.69.23.79
  • 109.248.175.80
  • 20.214.202.34
  • 20.168.203.211
  • 5.161.100.229
  • 5.161.127.149
  • 5.78.55.208
  • 5.78.52.157
  • 49.12.77.28
  • 65.21.152.246

Les dix principales adresses IP utilisant des agents utilisateurs malveillants connus

  • 80.76.51.29
  • 85.31.44.203
  • 185.190.24.5
  • 194.169.175.135
  • 194.38.20.16
  • 194.169.175.22
  • 194.165.17.8
  • 185.190.24.91
  • 5.181.86.5
  • 194.165.17.27

Top 10 des agents utilisateurs ciblant le gestionnaire de téléchargements

Ces agents utilisateurs sont répertoriés dans l’ordre décroissant des tentatives d’exploitation suivies. La plupart de ces chaînes d’agent utilisateur sont légitimes, mais les chaînes en gras semblent avoir été modifiées.

  • Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/107.0.0.0 Safari/537.36
  • Mozilla/5.0 (Linux ; Android 11 ; ONEPLUS A6013) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/107.0.0.0 Mobile Safari/537.36
  • Mozilla/5.0 (iPhone ; CPU iPhone OS 16_1 comme Mac OS X) AppleWebKit/605.1.15 (KHTML, comme Gecko) CriOS/107.0.5304.101 Mobile/15E148 Safari/604.1
  • Mozilla/5.0 (Linux ; Android 11 ; Lenovo YT-J706X) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/107.0.0.0 Safari/537.36
  • Mozilla/5.0 (Linux ; Android 12 ; SM-A205U) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/107.0.5304.141 Mobile Safari/537.36
  • Mozilla/5.0 (Macintosh ; Intel Mac OS X 13_0_1) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/107.0.0.0 Safari/537.36
  • Mozilla/4.0 (compatible ; MSIE 6.0 ; Windows NT 5.1 ; SV1)
  • LinuxMozilla
  • Mozilla/5.0 (Linux ; Android 12 ; SM-S906N Build/QP1A.190711.020 ; wv) AppleWebKit/537.36 (KHTML, comme Gecko) Version/4.0 Chrome/105.0.0.0 Mobile Safari/537.36
  • Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/104.0.0.0 Safari/537.36

Les dix principaux agents utilisateurs malveillants connus et bloqués

Bien que certaines de ces chaînes d’agents utilisateurs aient pu être légitimes à un moment donné, les anciens agents utilisateurs sont souvent utilisés à des fins malveillantes.

  • Mozlila/5.0 (Linux ; Android 7.0 ; SM-G892A Bulid/NRD90M ; wv) AppleWebKit/537.36 (KHTML, comme Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36
  • wp_is_mobile
  • Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/90.0.4430.85 Safari/537.36
  • Mozilla/5.0 (X11 ; Ubuntu ; Linux x86_64 ; rv:62.0) Gecko/20100101 Firefox/62.0
  • Un petit client
  • Mozilla/5.0 (X11 ; Ubuntu ; Linux i686 ; rv:28.0) Gecko/20100101 Firefox/28.0
  • Mozilla/4.0 (compatible ; MSIE 6.0 ; Windows NT 5.0)
  • Mozilla/5.0 (Windows NT 10.0 ; WOW64 ; rv : 45.0) Gecko/20100101 Firefox/45.0
  • Mozlila/5.0 (Linux ; Android 7.0 ; SM-G892A Bulid/NRD90M ; wv) AppleWebKit/537.36 (KHTML, comme Gecko) Version/4.0 Chrome/60.0.3112.107 Mobile Safari/537.36
  • Mozlila/5.0 (Linux ; Android 7.0 ; SM-G892A Bulid/NRD90M ; wv) AppleWebKit/537.36 (KHTML, comme Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36 X-Middleton/1

Conclusion

Les pics d’exploit et d’autres tentatives d’attaque sont courants pendant les vacances, comme le montrent les pics que nous avons observés lors des tentatives de sondage contre le plug-in Downloads Manager et les agents utilisateurs malveillants connus bloqués. Ces pointes se sont produites pendant ou près des vacances de Noël et du Nouvel An. Heureusement pour les utilisateurs de Wordfence, des règles de pare-feu étaient déjà en place pour bloquer ces tentatives d’attaque, même pour Wordfence gratuit utilisateurs. En plus d’avoir un pare-feu et une analyse des logiciels malveillants en place, il est également important de s’assurer que tous les composants d’un site Web sont mis à jour avec les dernières versions de sécurité, et les plugins vulnérables sans mises à jour doivent être supprimés.

Le pare-feu Wordfence protège Wordfence Prime, Se soucieret Réponseet Libérer utilisateurs de ces vulnérabilités et attaques. Néanmoins, nous vous recommandons fortement de supprimer ou de remplacer le plug-in Downloads Manager dès que possible.

Si vous pensez que votre site a été compromis en raison de cette vulnérabilité ou de toute autre vulnérabilité, nous proposons des services de réponse aux incidents via Soins des mots. Si vous avez besoin que votre site soit nettoyé immédiatement, Réponse Wordfence offre le même service avec une disponibilité 24/7/365 et un temps de réponse d’une heure. Ces deux produits incluent une assistance pratique au cas où vous auriez besoin d’une assistance supplémentaire. Si vous avez des amis ou des collègues qui utilisent ce plugin, partagez ce message avec eux et encouragez-les à supprimer ou à remplacer Downloads Manager dès que possible.


Source link