Notre équipe Threat Intelligence a suivi une augmentation soudaine des attaques ciblant les vulnérabilités Cross-Site Scripting (XSS) qui a commencé le 28 avril 2020 et a augmenté au cours des prochains jours pour atteindre environ 30 fois le volume normal que nous voyons dans nos données d’attaque.

La majorité de ces attaques semblent être causées par un seul acteur de menace, basé sur la charge utile qu’ils tentent d’injecter – un JavaScript malveillant qui redirige les visiteurs et profite de la session d’un administrateur pour insérer une porte dérobée dans l’en-tête du thème.

Après une enquête plus approfondie, nous avons constaté que cet acteur de la menace attaquait également d’autres vulnérabilités, principalement des vulnérabilités plus anciennes, leur permettant de modifier l’URL domestique d’un site vers le même domaine utilisé dans la charge utile XSS afin de rediriger les visiteurs vers des sites malvertisants.

En raison du volume et de la variété des attaques et des sites que nous avons ciblés, il est possible que votre site soit exposé à ces attaques, et l’acteur malveillant se concentrera probablement sur d’autres vulnérabilités à l’avenir. Les indications de compromis (IoC) sont répertoriées ci-dessous afin que vous puissiez surveiller vos sites.

Bien que nos dossiers montrent que cet acteur de la menace a pu envoyer un plus petit volume d’attaques dans le passé, ce n’est qu’au cours des derniers jours qu’ils ont vraiment augmenté, au point où plus de 20 millions d’attaques ont été tentées contre plus de un demi-million de sites individuels le 3 mai 2020. Au cours du dernier mois au total, nous avons détecté plus de 24 000 adresses IP distinctes envoyant des demandes correspondant à ces attaques à plus de 900 000 sites.

Tous les utilisateurs de Wordfence, y compris Wordfence Premium et les utilisateurs gratuits de Wordfence, sont protégés contre les attaques XSS via la protection XSS intégrée du pare-feu d’application Web. Le pare-feu des applications Web dispose également d’un ensemble de règles protégeant contre les attaques que nous avons vues tenter de modifier l’URL personnelle d’un site. Comme ces attaques semblent cibler des vulnérabilités corrigées depuis des mois ou des années, les utilisateurs de Wordfence Premium et de Wordfence gratuit devraient être protégés.

Cibles

De nombreuses vulnérabilités ciblées ont été attaquées lors de campagnes précédentes. Les vulnérabilités les plus populaires ciblées étaient:

  1. Une vulnérabilité XSS dans le Easy2Map plugin, qui a été supprimé du référentiel de plugins WordPress en août 2019, et qui, selon nous, est probablement installé sur moins de 3000 sites. Cela représentait plus de la moitié de toutes les attaques.
  2. Une vulnérabilité XSS dans Concepteur de blog qui a été corrigé en 2019. Nous estimons qu’il ne reste plus que 1 000 installations vulnérables, bien que cette vulnérabilité soit cible de campagnes précédentes.
  3. Une vulnérabilité de mise à jour des options dans Conformité WP GDPR corrigé à la fin de 2018, ce qui permettrait aux attaquants de modifier l’URL du site en plus à autres options. Bien que ce plugin ait plus de 100 000 installations, nous estimons qu’il ne reste plus que 5 000 installations vulnérables.
  4. Une vulnérabilité de mise à jour des options dans Total des dons ce qui permettrait aux attaquants de modifier l’URL d’accueil du site. Ce plugin a été supprimé définitivement du marché Envato au début de 2019, et nous estimons qu’il reste moins de 1000 installations au total.
  5. Une vulnérabilité XSS dans le thème Newspaper qui a été corrigée en 2016. Cette vulnérabilité a également été corrigée ciblé dans le passé.

Bien qu’il ne soit pas facile de comprendre pourquoi ces vulnérabilités ont été ciblées, il s’agit d’une campagne à grande échelle qui pourrait facilement pivoter vers d’autres cibles.

Décomposition des données d’attaque

La majorité de ces attaques tentent d’insérer un code JavaScript malveillant situé sur count[.]trackstatisticsss[.]com/stm (généralement suivi de ce qui semble être une chaîne de requête de version pour empêcher la mise en cache) dans un site dans l’espoir qu’ils seront exécutés par le navigateur d’un administrateur. Dans certains cas, ces tentatives incluent l’URI simple du script malveillant, tandis que dans d’autres, elles s’appuient sur String.fromCharCode pour masquer l’emplacement du script injecté. Les itérations antérieures de ces attaques semblent avoir utilisé ws[.]stivenfernando[.]com/stm comme la charge utile malveillante.

Remarque: toutes les captures d’écran contiennent des versions désobfusquées / embellies des scripts en question pour plus de lisibilité.

Le script vérifie si la victime a des cookies de connexion WordPress définis:

Si la victime n’est pas connectée et n’est pas sur la page de connexion, elle la redirige vers une URL malvertising. Si la victime est connectée au site, le script tente d’injecter une porte dérobée PHP malveillante dans le fichier d’en-tête du thème actuel, en plus d’un autre JavaScript malveillant:

Voici une version désobfusquée de cette porte dérobée PHP:

La porte dérobée PHP ajoutée à l'en-tête du thème

La porte dérobée télécharge une autre charge utile de https://stat[.]trackstatisticsss[.]com/n.txt, base64_ le décode, l’enregistre dans un fichier temporaire htht, tente de l’exécuter en l’incluant dans l’en-tête du thème, puis supprime le fichier temporaire. Cette méthode permettrait à l’attaquant de garder le contrôle du site, car il pourrait simplement modifier le contenu du fichier à https://stat[.]trackstatisticsss[.]com/n.txt au code de leur choix qui pourrait être utilisé pour intégrer une webshell, créer un administrateur malveillant ou même supprimer l’intégralité du contenu du site. Bien que nous n’ayons pas inclus la charge utile finale actuelle par souci de concision, sa fonctionnalité consiste à ajouter une variante du script d’attaque initial à chaque fichier JavaScript et à chaque fichier .htm, .html et .php nommé «index» sur le site, vérifiez toutes les 6400 secondes pour vérifier que le site est toujours infecté et réinfectez-le si nécessaire.

Indicateurs de compromis

La charge utile finale actuelle utilise les chaînes suivantes pour déterminer si les fichiers du site ont déjà été infectés et, en tant que tels, ils peuvent être considérés comme des indicateurs de compromis fiables (IOC):

hjt689ig9
trackstatisticsss

La charge utile finale actuelle écrit également des horodatages indiquant la dernière fois que le site a été vérifié pour la réinfection dans un fichier nommé debugs.log (notez l’orthographe).

En outre, cette campagne semble être associée à un autre domaine, stivenfernando[.]com et à ce titre, toute occurrence de ce domaine sur votre site ou dans vos journaux doit être considérée comme un indicateur potentiel de compromis.

Malheureusement, il n’est pas pratique de répertorier toutes les adresses IP qui effectuent ces attaques, mais les 10 principaux attaquants par volume de demandes sont répertoriés ci-dessous:

185.189.13.165
198.154.112.83
89.179.243.3
132.148.91.196
104.236.133.77
188.166.176.210
77.238.122.196
74.94.234.151
188.166.176.184
68.183.50.252

Que devrais-je faire?

La chose la plus importante que vous puissiez faire dans une situation comme celle-ci est de garder vos plugins à jour, et de désactiver et supprimer tous les plugins qui ont été supprimés du référentiel de plugins WordPress. La grande majorité de ces attaques sont ciblées sur des vulnérabilités corrigées il y a des mois ou des années, et sur des plugins qui ne comptent pas un grand nombre d’utilisateurs. Bien que nous n’ayons vu aucune attaque efficace contre les dernières versions des plugins actuellement disponibles, l’exécution d’un pare-feu d’application Web peut également aider à protéger votre site contre toute vulnérabilité qui n’aurait pas encore été corrigée. La plupart des attaques Cross-Site Scripting (XSS) suivent des modèles qui peuvent être bloqués quelle que soit la vulnérabilité spécifique ciblée.

Conclusion

Dans l’article d’aujourd’hui, nous avons couvert une attaque à grande échelle contre près d’un million de sites individuels, y compris la fonctionnalité de la charge utile d’attaque. Tous les utilisateurs de Wordfence, y compris les sites exécutant la version gratuite de Wordfence ainsi que Wordfence Premium, sont protégés contre ces attaques. Néanmoins, nous exhortons les propriétaires de sites à s’assurer que tous leurs plugins sont à jour et à désactiver et supprimer tous les plugins qui ont été supprimés du référentiel de plugins WordPress.

Nous remercions Nate Smith, analyste de la sécurité Wordfence, et Matt Rusnak, responsable QA, qui ont initialement enquêté sur les vulnérabilités attaquées au cours des premières étapes de cette campagne.


Source link

%d blogueurs aiment cette page :