Entre le 29 et le 31 mai 2020, le pare-feu Wordfence a bloqué plus de 130 millions attaques destinées à récupérer les informations d’identification de la base de données 1,3 million de sites en téléchargeant leurs fichiers de configuration.

Le pic de cette campagne d’attaque s’est produit le 30 mai 2020. À ce stade, les attaques de cette campagne représentaient 75% de toutes les tentatives d’exploits des vulnérabilités des plugins et des thèmes dans l’écosystème WordPress.

Un graphique montrant le pic des attaques
Nous avons pu lier ces attaques au même acteur de menace ciblant précédemment XSS vulnérabilités à une échelle similaire. Tous les utilisateurs de Wordfence, y compris Wordfence Premium et ceux qui utilisent toujours la version gratuite de Wordfence, sont protégés par la protection intégrée de traversée de répertoire de notre pare-feu.

Différentes vulnérabilités, mêmes IP

Les campagnes XSS précédemment signalées ont envoyé des attaques de plus de 20 000 adresses IP différentes. La nouvelle campagne utilise les mêmes adresses IP, qui représentaient la majorité des attaques et des sites ciblés. Cette campagne attaque également près d’un million de nouveaux sites qui n’étaient pas inclus dans les campagnes XSS précédentes.

Comme pour les campagnes XSS, presque toutes les attaques visent des vulnérabilités plus anciennes dans des plugins ou des thèmes obsolètes qui permettent de télécharger ou d’exporter des fichiers. Dans ce cas, les attaquants tentent de télécharger wp-config.php, un fichier essentiel à toutes les installations WordPress qui contient les informations d’identification de la base de données et les informations de connexion, en plus des clés et des sels d’authentification uniques. Un attaquant ayant accès à ce fichier pourrait accéder à la base de données du site, où le contenu du site et les utilisateurs sont stockés.

Indicateurs de compromis

Les attaques de cette campagne doivent être visibles dans les journaux de votre serveur. Recherchez les entrées de journal contenant wp-config.php dans la chaîne de requête qui a renvoyé un 200 Code de réponse.

Les 10 principales adresses IP attaquantes de cette campagne sont répertoriées ci-dessous.

200.25.60.53
51.255.79.47
194.60.254.42
31.131.251.113
194.58.123.231
107.170.19.251
188.165.195.184
151.80.22.75
192.254.68.134
93.190.140.8

Que devrais-je faire?

Les sites exécutant Wordfence sont protégés contre cette campagne. Si votre site n’exécute pas Wordfence et que vous pensez avoir été compromis, changer immédiatement le mot de passe de votre base de données et les clés et sels uniques d’authentification.

Si votre serveur est configuré pour autoriser l’accès à la base de données à distance, un attaquant avec vos informations d’identification de base de données pourrait facilement ajouter un utilisateur administratif, exfiltrer des données sensibles ou supprimer complètement votre site. Même si votre site n’autorise pas l’accès à une base de données à distance, un attaquant qui connaît les clés d’authentification et les sels de votre site pourrait les utiliser pour contourner plus facilement d’autres mécanismes de sécurité.

Si vous n’êtes pas à l’aise pour effectuer les modifications ci-dessus, veuillez contacter votre hôte, car vous avez changé le mot de passe de votre base de données sans mettre à jour wp-config.php fichier peut temporairement supprimer votre site.

Conclusion

Dans l’article d’aujourd’hui, nous avons couvert une autre campagne d’attaque à grande échelle contre des sites WordPress par un acteur de la menace que nous suivons depuis février. Tous les utilisateurs de Wordfence, y compris les sites exécutant la version gratuite de Wordfence, et Wordfence Premium, sont protégés contre ces attaques. Néanmoins, nous vous invitons à vous assurer que tous les plugins et thèmes sont mis à jour et à partager ces informations avec les autres propriétaires ou administrateurs de site que vous connaissez. Les attaques de cet acteur de la menace évoluent et nous continuerons à partager des informations supplémentaires à mesure qu’elles seront disponibles.


Source link

%d blogueurs aiment cette page :