Le 27 octobre 2020 vers 16 h 50, heure des Rocheuses, le site Web de la campagne de Donald Trump, www.donaldjtrump.com, a été dégradé. Les assaillants ont laissé un message affirmant qu’ils disposaient d’informations compromettantes sur le président Trump. La page de dégradation contenait deux identifiants de portefeuille de crypto-monnaie Monero encourageant les visiteurs à «voter» en envoyant de la crypto-monnaie aux portefeuilles, indiquant que si le premier portefeuille recevait plus d’argent que le deuxième portefeuille, les attaquants publieraient ces informations compromettantes.

Bien que le site ait été compromis, les visiteurs ont été accueillis par les éléments suivants:

Wordfence protège les sites Web WordPress, et nous offrons un service de nettoyage de site piraté pour les propriétaires de sites WordPress. Le site Web de la campagne de Donald Trump est hébergé à l’aide d’Expression Engine, qui est un système de gestion de contenu alternatif à WordPress. Bien que Wordfence ne protège pas les sites à l’aide d’Expression Engine, nous avons pensé examiner les faits entourant cet incident et les leçons que nous pourrions en tirer.

Le site Web de la campagne a utilisé le CMS Expression Engine, un CMS commercial avec peu de vulnérabilités connues. Le site a utilisé Cloudflare comme réseau de diffusion de contenu (CDN).

Le site étant protégé par Cloudflare, les attaquants n’auraient pu accéder au site via FTP ou SSH que s’ils connaissaient l’IP d’origine, c’est-à-dire l’IP du serveur hébergeant le site. Lorsqu’un site utilise Cloudflare, les serveurs Cloudflare sont ceux auxquels les visiteurs du site accèdent, plutôt que le serveur «d’origine» qui contient réellement le contenu et toute application Web. Cloudflare tente de masquer l’adresse IP du serveur d’origine, ce qui rend l’accès à ce serveur difficile à moins que vous ne puissiez découvrir l’adresse IP.

La page de défacement elle-même affichait deux portefeuilles XMR (Monero). Monero est une crypto-monnaie populaire parmi les acteurs de la menace car elle utilise un grand livre public obscurci. Cela signifie que, bien que les transactions soient enregistrées, elles ne sont actuellement pas traçables. Cela rend impossible pour les étrangers de découvrir qui a envoyé de l’argent à chaque portefeuille ou les montants impliqués.

Les attaquants ont également laissé une clé publique Pretty Good Privacy (PGP) sur la page de dégradation. Une clé publique PGP peut être utilisée pour vérifier les messages signés et s’assurer que l’expéditeur d’un message est la même personne qui a publié la clé publique. Si les attaquants décidaient plus tard de divulguer des informations, ils pourraient prouver qu’ils étaient les mêmes acteurs de la menace qui ont dégradé le site en signant les informations publiées avec leur clé privée.

Seules les informations signées avec leur clé privée seraient vérifiables à l’aide de la clé publique publiée. Dans ce cas, la clé publique semble correspondre à une adresse e-mail inexistante, hack@planet.gov. Néanmoins, nous avons fourni la clé PGP pour la postérité:

Il existe plusieurs vecteurs d’intrusion possibles, ou mécanismes que les attaquants auraient pu utiliser pour accéder et altérer le site Web de la campagne Trump. Nous décrivons plusieurs possibilités ci-dessous, mais pour être clair, sans preuves médico-légales pour vérifier ces théories, nous ne pouvons pas savoir de manière définitive comment le site a été compromis.

Dans chaque cas, les informations d’identification compromises sont de loin le vecteur d’intrusion le plus probable. Un chercheur néerlandais a récemment affirmé avoir accédé au compte Twitter de Trump en utilisant le mot de passe «maga2020!». Le compte Twitter de Trump a également été piraté en 2016 lorsqu’une violation de données a révélé qu’il utilisait le mot de passe «yourefired».

IV: Identifiants compromis utilisés pour se connecter à Expression Engine – Probabilité élevée

Expression Engine, comme la plupart des systèmes de gestion de contenu, fournit un panneau d’administration pour la publication de contenu. Par défaut, il se trouve dans /admin.php. Sur donaldjtrump.com, cependant, la connexion de l’administrateur a été déplacée vers un autre emplacement, un exemple de sécurité par l’obscurité.

L’Internet Archive indique que la dernière fois que la page d’administration a été accessible à l’emplacement par défaut remonte à juin 2015. Même dans cet emplacement caché, si un attaquant avait pu accéder au panneau d’administration, il aurait pu modifier n’importe quel contenu sur le site, bien qu’ils n’auraient eu accès à aucune information sensible.

Les pages «Politique de confidentialité» et «Termes et conditions» affichent une erreur «404 page non trouvée» quelques heures après la restauration du site. Cela indique que quelque chose a changé sur le système de gestion de contenu lui-même, plutôt que sur la configuration Cloudflare. Nous pensons donc que le CMS compromis est donc une probabilité plus élevée que Cloudflare d’être compromis, ce que nous décrivons ci-dessous.

IV: Identifiants compromis utilisés pour se connecter à Cloudflare – Probabilité moyenne

Si un attaquant était en mesure de se connecter au compte Cloudflare de la campagne, il aurait pu pointer le domaine vers une adresse IP sous son contrôle, remplaçant ainsi le contenu du site par le contenu de son propre compte d’hébergement. Cela pourrait également expliquer comment la campagne a pu «restaurer» le contenu d’origine du site si rapidement.

Le simple fait de pointer le domaine vers la bonne adresse IP aurait inversé la dégradation. Le fait que certaines pages du site, telles que la «Politique de confidentialité» et les «Conditions d’utilisation» affichent toujours des erreurs 404 au moment de notre publication, indique qu’il s’agit d’un vecteur d’intrusion moins probable.

IV: Identifiants compromis ou ingénierie sociale utilisés pour changer les serveurs de noms de domaine chez le registraire – Faible probabilité

Cela fonctionnerait en utilisant un mécanisme similaire au compromis Cloudflare. Si un attaquant était en mesure de se connecter au compte où le domaine donaldjtrump.com était enregistré, ou de se frayer un chemin socialement dans le compte du bureau d’enregistrement du domaine, il aurait pu le diriger loin des serveurs de noms de Cloudflare et des serveurs de noms sous leur contrôle. .

Le fait que certaines pages du site affichent toujours des erreurs 404 indique que c’est une possibilité moins probable. De plus, les modifications du serveur de noms prennent généralement suffisamment de temps pour se propager pour que la page dégradée soit probablement toujours visible à partir de certains emplacements.

IV: Serveur d’origine piraté via FTP ou SSH – Faible probabilité

C’est le scénario le moins probable car les attaquants auraient besoin de connaître l’adresse IP d’origine du site ainsi que les informations d’identification FTP ou SSH du compte d’hébergement du site afin de se connecter directement au site sans être bloqués par Cloudflare.

IV: Vulnérabilité des applications Web – Faible probabilité

Bien qu’il soit possible qu’une vulnérabilité dans Expression Engine ait été exploitée, Expression Engine a eu peu de vulnérabilités connues et les chances qu’une vulnérabilité de 0 jour dans ce CMS reste longtemps inconnue sont faibles. De plus, une vulnérabilité ou une chaîne d’exploit serait nécessaire pour permettre une élévation de privilèges ou l’exécution de code à distance afin que l’attaquant puisse dégrader le site de cette manière.

Leçons à emporter

Presque tous les scénarios possibles incluent des informations d’identification réutilisées exploitées pour accéder au site donaldjtrump.com. Dans presque tous les cas, l’activation de l’authentification à 2 facteurs aurait empêché un tel scénario de se produire. C’est également un rappel qu’il est important d’activer l’authentification à 2 facteurs non seulement sur le panneau administratif de votre site Web, mais sur chaque service qui l’offre, y compris les services que vous ne pensez peut-être pas comme vulnérables.

Si les informations d’identification que vous utilisez ont été exposées lors d’une violation de données, peu importe la sécurité du service que vous utilisez. En activant l’authentification à 2 facteurs, vous ajoutez une couche de protection supplémentaire.

Tandis que Wordfence n’offre pas de protection pour Expression Engine, nous offrons la meilleure protection de sa catégorie pour WordPress. Cela inclut l’authentification à 2 facteurs comme une fonctionnalité entièrement gratuite.

N’attendez pas qu’un attaquant devine votre mot de passe. Activez l’authentification à 2 facteurs pour protéger vos ressources Web.


Source link