Les cyberattaques ont commencé à utiliser des comptes d'administrateurs non autorisés pour lancer des attaques sur des sites WordPress le mois dernier et les attaques se sont poursuivies, selon une nouvelle étude de Wordfence.
Les chercheurs en sécurité de la société ont découvert que des vulnérabilités connues dans les plugins WordPress ont été exploitées en injectant du code JavaScript malveillant dans les interfaces des sites victimes, ce qui conduit les visiteurs de ces sites compromis à être redirigés vers du contenu potentiellement dangereux, notamment des droppers de logiciels malveillants et des sites frauduleux. Les attaquants ont dissimulé un grand nombre de playloads afin d'éviter toute détection par les logiciels WAF et IDS.
Les chercheurs de Wordfence ont découvert l'origine des attaques et ont identifié diverses adresses IP liées à des fournisseurs d'hébergement Web. Cependant, une fois le problème signalé aux fournisseurs, la plupart des IP ont cessé leurs activités illégales, à l'exception d'un seul.
Dans un article de blog expliquant sa découverte, Mikey Veenstra de Wordfence expliquait que la plupart des attaques avaient pour origine une adresse IP:
«L'adresse IP en question est 104.130.139.134, un serveur Rackspace hébergeant actuellement certains sites Web probablement compromis. Nous avons contacté Rackspace pour les informer de cette activité, dans l’espoir qu’ils agiraient pour empêcher de nouvelles attaques de leur réseau. Nous n'avons pas encore entendu de retour. "
Sommaire
Vulnérabilités du plugin WordPress
Toutes les attaques qui ont eu lieu jusqu'à présent ont ciblé plusieurs vulnérabilités connues d'anciens plug-ins NicDark, notamment nd-booking, nd-travel et nd-learning.
Bien que la recherche initiale sur la campagne ait identifié l’injection de scripts ayant déclenché des redirections malveillantes ou des popups non désirés dans les navigateurs de ceux ayant visité un site victime, la campagne a évolué en ajoutant un script supplémentaire qui tente d’installer une porte dérobée dans le site cible. exploiter une session d'administrateur.
Wordfence a également expliqué comment les propriétaires de sites WordPress peuvent éviter d'être victimes de cette campagne en disant:
«Comme toujours, la mise à jour des plugins et des thèmes sur votre site WordPress constitue une excellente couche de défense contre des campagnes comme celle-ci. Recherchez fréquemment les mises à jour nécessaires sur votre site pour vous assurer de recevoir les derniers correctifs au moment de leur publication. Les utilisateurs de Wordfence reçoivent périodiquement des courriels les informant de la disponibilité des mises à jour. ”
Via SC Magazine
