Des centaines de milliers de sites Web WordPress ont été ciblés en 24 heures dans une cyberattaque à grande échelle dans le but de récolter les informations d'identification de la base de données.
Les cybercriminels à l'origine de l'attaque tentaient de télécharger les fichiers de configuration wp-config.php à partir des sites WordPress des utilisateurs car ils contiennent des informations précieuses, notamment les informations d'identification de la base de données, les informations de connexion, les clés d'authentification uniques et les sels.
Ils ont tenté d'exploiter les scripts intersites connus (Vulnérabilités XSS) dans les plugins et thèmes WordPress installés sur les sites des utilisateurs comme moyen d'accéder à leurs identifiants dans le but final de reprendre complètement leurs sites.
Dans un article de blog, l'ingénieur QA et analyste des menaces, Ram Gall, a fourni des informations supplémentaires sur l'ampleur de la campagne, déclarant:
«Entre le 29 et le 31 mai 2020, le pare-feu Wordfence a bloqué plus de 130 millions d'attaques destinées à collecter les informations d'identification de la base de données sur 1,3 million de sites en téléchargeant leurs fichiers de configuration. Le pic de cette campagne d'attaque s'est produit le 30 mai 2020. À ce stade, les attaques de cette campagne ont représenté 75% de toutes les tentatives d'exploitation des vulnérabilités des plugins et des thèmes dans l'écosystème WordPress. »
Sommaire
Cibler les comptes WordPress
Les chercheurs en sécurité de Wordfence ont pu lier cette campagne à une autre attaque à grande échelle qui a commencé le 28 avril en analysant les 20 000 adresses IP différentes utilisées dans cette dernière attaque.
Dans la campagne précédente, l'acteur de la menace que la société a traqué a tenté de planter des portes dérobées ou de rediriger les visiteurs vers des sites de malvertising en exploitant les vulnérabilités XSS dans des plugins qui avaient été corrigés mais n'avaient pas encore été mis à jour par les propriétaires de sites WordPress.
En une seule journée, le 3 mai, les attaquants à l'origine de ces campagnes ont réussi à lancer plus de 20 millions d'attaques contre plus d'un demi-million de sites.
Comme c'est souvent le cas, les propriétaires de sites WordPress peuvent se défendre contre ces types d'attaques en s'assurant que tous les plugins et thèmes installés sur leurs sites ont été mis à jour vers la dernière version et en appliquant et en corrigeant les correctifs publiés par leurs créateurs. De plus, ils doivent supprimer ou désactiver les thèmes et plugins obsolètes qui ont été supprimés du référentiel WordPress officiel car ils ne sont plus maintenus.
Via BleepingComputer