Cette semaine, nous examinons la version WP 5.4.2 et une escroquerie bitcoin de ransomware ciblant les propriétaires de sites avec un e-mail «Vous avez été piraté». Nous examinons également un avertissement du FBI concernant les logiciels malveillants des applications de banque en ligne, le rapport de violation de données de Verizon et ce qui est dit sur WordPress, et comment certains pirates informatiques deviennent des millionnaires divulguant de manière responsable des vulnérabilités via HackerOne.

Voici des horodatages et des liens au cas où vous souhaiteriez sauter, et une transcription est ci-dessous.
0:20 Correctifs pour les versions de sécurité de WordPress 5.4.2 plusieurs vulnérabilités XSS
1:47 Haute gravité Vulnérabilités dans le plugin PageLayer Affectez plus de 200 000 sites WordPress
3:05 Ransomware Arnaque Bitcoin affirmant que des sites sont piratés
5:40 Le FBI met en garde contre une augmentation du piratage risque si vous utilisez des applications bancaires mobiles
8:08 100 millions de dollars en primes payé par HackerOne aux pirates éthiques
10:00 Rapport de violation de données Verizon: Attaques d’applications Web augmenter pour représenter près de la moitié de toutes les violations de données
11:17 Propriétaires de DDoS à louer service obtenir un service communautaire

Retrouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 77

Bienvenue sur Think Like a Hacker, le podcast sur WordPress, la sécurité et l’innovation. Cela fait quelques semaines, beaucoup de choses se passent ici à Wordfence, y compris quelques événements en direct très fréquentés sur YouTube. Plus sur cela plus tard. Commençons par les nouvelles.

Notre histoire phare, WordPress 5.4.2 est sortie le mercredi 10 juin. La dernière version de WordPress contient 23 correctifs et améliorations, y compris des correctifs pour six scripts intersites à risque modéré et d’autres bogues de sécurité.

Ram Gall, analyste des menaces pour Wordfence et ingénieur principal en assurance qualité, a examiné la version plus en profondeur. Il a constaté que la plupart des correctifs de sécurité corrigeaient des vulnérabilités uniquement exploitables dans des cas plutôt spécialisés. L’un des problèmes de script intersite résolu par la mise à jour signifiait que les utilisateurs authentifiés avec de faibles privilèges pouvaient ajouter JavaScript aux publications dans l’éditeur de blocs. Un problème distinct a donné aux utilisateurs authentifiés avec des autorisations de téléchargement, la possibilité d’ajouter JavaScript aux fichiers multimédias. Et la version contenait également un autre bogue, pas de script intersite, qui résolvait un problème de redirection ouverte dans la fonction wp_validate_redirect. Un problème où les commentaires de publications et de pages protégées par mot de passe pouvaient être affichées sous certaines conditions a également été résolu. Un merci spécial et un merci aux chercheurs en sécurité qui ont trouvé ces vulnérabilités et les ont révélées de manière responsable à l’équipe principale, et un remerciement, bien sûr, à l’équipe principale qui a distribué cette version.

Notre histoire suivante concerne les vulnérabilités de gravité élevée qui ont été corrigées dans le plugin Page Layer. Cela a affecté plus de 200 000 sites WordPress. Chloe Chamberland a posté cela sur le blog officiel de Wordfence il y a quelques semaines. Au moment d’écrire ces lignes, ces vulnérabilités ont déjà été corrigées. Si vous utilisez Wordfence, le pare-feu protège contre les exploits. Les utilisateurs gratuits et premium sont protégés contre cette exploitation. L’une des failles a permis à tout utilisateur authentifié disposant d’un niveau d’abonné et des autorisations supérieures, la possibilité de mettre à jour et de modifier des publications avec du contenu malveillant, entre autres.

La deuxième faille a permis aux attaquants de falsifier des requêtes au nom d’un administrateur de site pour modifier les paramètres du plugin, ce qui pourrait permettre une injection JavaScript malveillante. Chloé l’a démontré à la fois sur la vidéo incluse dans le blog, ainsi que pendant les heures de bureau de Wordfence le 9 juin. Ceux-ci sont disponibles sur la chaîne YouTube Wordfence. Je suggère de les vérifier. Il y a des liens dans les notes de l’émission. Chloé facilite vraiment la compréhension de ces exploits et permet à chacun d’entre nous de mieux comprendre comment mieux protéger nos sites.

Notre prochaine histoire concerne les fausses escroqueries Bitcoin de ransomware. Maintenant, je suis sûr que nous en avons tous reçu un à un moment ou à un autre. Nous les voyons dans les boîtes de réception depuis un certain temps. L’année dernière, ils prétendaient avoir une vidéo de personnes accédant à du contenu plutôt douteux et embarrassant, et essayaient essentiellement de faire payer Bitcoin pour que ces vidéos ne soient pas exposées. Bien sûr, ce n’était qu’une arnaque. Désormais, ils visent les propriétaires de sites, affirmant que votre site est piraté, et la seule façon de sauvegarder les informations personnellement identifiables de la base de données de votre site est de payer une rançon. Ainsi, l’escroc envoie un e-mail au propriétaire du site avec le sujet «votre site a été piraté» et le corps de l’e-mail affirme que les pirates ont exploité des vulnérabilités pour accéder à la base de données du site, et qu’ils «ont déplacé les informations vers un serveur offshore. “

L’e-mail menace alors de ruiner la réputation des propriétaires de sites en vendant la base de données du site ou en avisant les clients que leurs informations ont été compromises, et ils menacent également de désindexer le site des moteurs de recherche en utilisant des techniques de chapeau noir. Maintenant, c’est tout ce qui pourrait arriver, mais tout comme les précédentes escroqueries que nous avons vues dans les boîtes de réception, c’est une arnaque et ce n’est pas vrai, et vous pouvez recevoir ces e-mails sans que votre site ne soit réellement piraté.

Il existe en fait une base de données sur les abus Bitcoin sur ce que vous pouvez rechercher ce qui se passe avec une adresse Bitcoin individuelle. Vous pouvez donc entrer cette adresse Bitcoin et cela indiquera ce que le propriétaire de cette adresse a fait. Donc, si vous entrez l’adresse Bitcoin de l’une de ces escroqueries par courrier électronique que les gens reçoivent, vous verrez que d’autres personnes reçoivent des types similaires d’arnaques par courrier électronique essayant de cibler des sites, même certains sites qui n’ont même pas de base de données. Jusqu’à présent, il semble que ces campagnes n’aient pas été couronnées de succès. Yay. Les gens les suppriment et ils ne convainquent pas les propriétaires de sites de payer la rançon. Je suis sûr que ces escrocs passeront à une autre arnaque. Nous devons simplement être conscients que tout ce qui s’affiche dans votre boîte de réception peut ou peut ne pas être vrai, et si quelqu’un vous menace de demander en ligne Bitcoin ou toute autre crypto-monnaie, ou même de l’argent, pour vraiment approfondir ces types de demandes de rançon. , car il s’agit très probablement d’une arnaque.

Notre prochaine histoire vient de Bleeping Computer. Ils signalent que le FBI met en garde contre l’augmentation des risques de piratage si vous utilisez des applications bancaires mobiles sur votre smartphone. Ainsi, le FBI rapporte que les fournisseurs de technologies financières estiment que plus de 75% des Américains utilisent les services bancaires mobiles sous une certaine forme, et les études des données financières américaines indiquent une augmentation de 50% des services bancaires mobiles depuis le début de 2020, probablement en raison à tous les verrouillages et COVID-19. Le FBI prévoit donc que ces acteurs malveillants tenteront d’exploiter de nouveaux clients de services bancaires mobiles qui ne savent pas comment ces applications bancaires fonctionnent, et ils pourraient utiliser des choses telles que de fausses applications bancaires et des chevaux de Troie bancaires basés sur des applications. Une chose qu’il est important de se rappeler est que si vous téléchargez une application, elle vous demandera de lui donner les autorisations nécessaires pour demander un vol de vos informations, pour voler vos noms d’utilisateur et mots de passe.

Ce malware ne va pas fouiner dans Android ou iOS, mais il restera en réalité inactif et n’apparaîtra que lorsque vous ouvrirez une application bancaire légitime, puis il vous demandera des informations. Ainsi, ces chevaux de Troie créeront une fausse version de la page de connexion de la banque et la superposeront au-dessus d’une application légitime. Une fois que vous avez entré vos informations d’identification dans cette application cheval de Troie, vous exposez évidemment vos informations d’identification à un attaquant.

Alors, que pouvons-nous faire? Évidemment, soyez très prudent lorsque vous êtes sur votre smartphone. Dans l’espace des crypto-monnaies, la sécurité est un problème depuis très longtemps. Et je connais des gens qui vendent beaucoup de crypto-monnaie, et ils ont en fait un ordinateur portable séparé, une machine distincte, sur laquelle ils font toutes leurs opérations bancaires, et c’est la seule chose qu’ils font avec cet ordinateur portable spécifique. Il est peut-être temps pour nous de commencer à appliquer certains de ces contrôles plus stricts pour nos autres institutions financières et de n’avoir qu’un seul navigateur, par exemple, que vous utilisez pour les opérations bancaires ou le transfert de fonds ou le trading de crypto-monnaies, ou le trading d’actions, quoi que vous soyez faire avec votre argent. Et isolez simplement ce que vous faites avec vos institutions financières afin d’atténuer ces types de risques.

Notre prochaine histoire vient de PortSwigger, portswigger.net, et ils font rapport sur le rapport d’enquête sur les violations de données Verizon 2020, et ils déclarent que les attaques d’applications Web augmentent pour représenter près de la moitié de toutes les violations de données. Le nombre réel est donc de 43% des violations remontent aux attaques contre les applications Web. Bien sûr, votre site Web WordPress est une application Web. Il s’agit du double des résultats de l’année dernière, et la grande majorité de ces violations de données ont été motivées, bien sûr, par la perspective d’un gain financier illicite. Cela représente une hausse par rapport à 71% en 2019.

Maintenant, comment cela affecte-t-il WordPress? Les attaques contre les systèmes de gestion de contenu qui incluent WordPress, Joomla, Drupal, NoneCMS ont représenté environ 20% de toutes les cyberattaques. Et plus de 28% des attaques visaient des plates-formes technologiques prenant en charge des sites Web, tels que ColdFusion et Apache Struts. Maintenant, que pouvons-nous tirer de ces données? Je veux dire, je ne trouve pas cela trop surprenant.

Votre site Web est la chose la plus facile à attaquer pour un attaquant. C’est votre porte d’entrée sur Internet pour votre entreprise. Il leur est beaucoup plus facile de cibler votre site Web que de dire vos systèmes de messagerie électronique ou vos systèmes comptables, bien que s’ils avaient ce type d’informations, ils cibleraient probablement cela également. De toute évidence, avec n’importe quelle porte d’entrée, il est bon d’avoir une serrure et une clé et peut-être une caméra de sécurité ou un système de sécurité empêchant ces types d’attaques sur la porte d’entrée, c’est pourquoi Wordfence existe. C’est bien d’avoir un pare-feu sur cette porte d’entrée et de s’assurer que ces attaques malveillantes ne peuvent pas se produire, et un scanner de logiciels malveillants pour vous dire si cela s’est effectivement produit.

Notre prochaine histoire est également de Bleeping Computer et elle a été publiée le 27 mai. Ils ont rapporté qu’une centaine de millions de dollars de primes avaient été versés via HackerOne à des pirates éthiques. C’est une histoire de bien-être, le piratage étant rentable, le piratage du chapeau blanc étant rentable. Toujours bon d’y mettre un peu d’attention. Ils signalent que plus de 700 000 pirates éthiques utilisent la plate-forme de prime aux bogues pour être payés pour les bogues de sécurité dans les produits de plus de 1 900 clients HackerOne. Bien sûr, il nous est impossible de savoir combien de cyber-violations ont été évitées par une divulgation responsable des vulnérabilités de sécurité, mais avec le coût moyen des violations d’environ 8 millions de dollars, les économies réalisées par les entreprises qui exploitent des sites Web et d’autres applications sont probablement de l’ordre de dizaines de milliards.

HackerOne a donc annoncé que huit des pirates utilisant leur plate-forme étaient devenus millionnaires, Santiago Lopez, 19 ans, étant le premier pirate à chapeau blanc à gagner plus d’un million de dollars en signalant les failles de sécurité de manière responsable à HackerOne. Un peu excitant.

Notre dernière histoire du 7 juin, de Krebs on Security, parle d’un service DDoS pour la location qui a obtenu six mois de service communautaire. Cette société s’appelait vDOS et les copropriétaires l’ont exploitée pendant quatre ans, essentiellement en prenant de l’argent aux clients et en lançant plus de 2 millions d’attaques par déni de service ou par déni de service, ce qui a mis de nombreux utilisateurs d’Internet et sites Web hors ligne. Ils ont été condamnés à six mois de travaux d’intérêt général par un tribunal israélien. Il semble maintenant que vDOS était responsable de la majorité des attaques DDoS qui avaient obstrué Internet entre 2012 et 2016. Leurs forfaits d’abonnement ont été vendus en combien de secondes durerait l’attaque DDoS, et en quatre mois entre avril et juillet 2016, vDOS était responsable du lancement de plus de 277 millions de secondes de temps d’attaque. Il était assez difficile d’obtenir toutes ces données car après avoir effectué ces attaques, ils essuieraient leurs serveurs. Des trucs assez effrayants.

Maintenant, évidemment, l’exploitation de ce type de service est illégale dans de nombreuses municipalités; l’achat de ces types de services est également illégal dans de nombreuses juridictions. Un commentateur d’un article de Krebs a déclaré qu’un des accusés avait en fait changé sa vie et travaillait pour une entreprise légitime maintenant. Espérons que les deux le fassent et espérons que davantage d’attaquants malveillants qui existent sur le Web trouveront des moyens de devenir des hackers éthiques, irons à la recherche de vulnérabilités sur les applications et soumettront leurs bogues à des endroits comme HackerOne pour les primes de bogues. Il existe des moyens de renverser une partie de ce cybercrime.

Les nouvelles d’aujourd’hui. Je vous invite à nous rejoindre pour les heures de bureau sur YouTube. Vous pouvez nous trouver sur Wordfence canal tous les mardis à midi, heure de l’Est sur la côte est des États-Unis et à 9h00, heure du Pacifique. La semaine prochaine, nous allons corriger un hack. Nous avons donc fait du piratage en direct au cours des deux dernières semaines avec Chloe Chamberland, et maintenant nous allons prendre l’un de ces sites piratés et vous montrer comment utiliser Wordfence pour le nettoyer. Alors rejoignez-nous là-bas.

Comme toujours, merci d’avoir écouté Think Like a Hacker. Je pourrais avoir quelques semaines pendant lesquelles je vais faire des choses intéressantes dans ma vie dont je parlerai plus tard, mais nous reviendrons avec toutes les nouvelles de la sécurité et de l’innovation WordPress, dès que possible. Restez en sécurité et nous vous parlerons bientôt.

Allez-y et donnez-nous un like ou donnez-nous un avis sur Podcasts Apple. Rejoignez-nous Youtube. Suivre moi sur Twitter et je vous ferai savoir ce que fait toute l’équipe Wordfence. Bien sûr, si vous ne suivez pas Wordfence sur vos réseaux sociaux préférés, nous sommes Wordfence partout, que ce soit Instagram ou Facebook ou Twitter.



Source link