Les pirates ciblent WordPress PHP : OnMSFT.com

Les pirates informatiques deviennent de plus en plus audacieux avec des attaques lancées quotidiennement à travers le monde. Dans le cas de WordPress, des dizaines de milliers d’organisations, y compris OnMSFT.com, utilisent la plate-forme pour fournir des mises à jour quotidiennes à des millions d’utilisateurs. Les pirates informatiques changeant constamment de tactique, la plate-forme devient lentement une nouvelle frontière de la cybersécurité qui aura à l’avenir un impact sur les utilisateurs Microsoft et non-Microsoft.

Et maintenant, selon le dernier rapport d’actualité connexe, une nouvelle tentative d’exploit WordPress PHP a été signalée par Nikita Popov, un contributeur au projet WP. Selon sa déclaration, il a trouvé deux commits malveillants qui avaient été poussés vers le dépôt php-src git. Les modifications ont été conçues pour créer des portes dérobées sur des sites Web à l’aide de la bibliothèque mise à jour.

Le schéma donnerait essentiellement aux auteurs un accès aux sites Web WordPress en tirant parti de l’exécution de code à distance via PHP et un en-tête HTTP. Ils pourraient également prendre en charge le serveur hébergeant le site PHP et modifier les fichiers sur le système.

PHP est un langage de script utilisé pour créer des sites Web dynamiques et réactifs. WordPress est codé en utilisant PHP, qui est Open Source. Par la suite, les fichiers WP ont généralement une extension.php.

Comme cela s’est passé

Les modifications malveillantes du référentiel qui se sont produites samedi ont été apportées pour sembler avoir été effectuées par deux contributeurs renommés de WP, Rasmus Lerdorf et Nikita Popov. C’était dans une tentative de leur donner un aspect authentique. Bien qu’il puisse sembler que les comptes des auteurs aient été compromis, on pense que le stratagème a fonctionné en exploitant l’infrastructure git et non en ciblant des comptes spécifiques.

En tant que tel, le groupe PHP a annoncé qu’il allait passer de l’infrastructure git à GitHub. Cela offrira une plus grande sécurité et permettra de suivre toutes les modifications futures.

Les attaquants sournois ont également tenté de semer la confusion en joignant un commentaire sur les changements impliquant que les exploits avaient été vendus à Zerodium, une entreprise spécialisée dans l’achat de vulnérabilités zero-day premium. Le commentaire disait « REMOVETHIS : vendu à Zerodium, mi 2017 ».

Cela dit, le PDG de Zerodium, Chaouki Bekrar, a nié toute transaction impliquant l’exploit PHP WordPress. « Bravo au troll qui a mis » Zerodium « dans les commits compromis PHP git d’aujourd’hui. De toute évidence, nous n’avons rien à voir avec cela. Probablement, le ou les chercheurs qui ont trouvé ce bug / exploit ont essayé de le vendre à de nombreuses entités mais aucun ne voulait acheter ce cr **, alors ils l’ont brûlé pour le plaisir », a-t-il déclaré via Twitter.

Si les modifications apportées par les pirates étaient passées inaperçues, des milliers de sites Web auraient été compromis, permettant aux pirates de mener une gamme d’attaques sur différents types d’appareils, y compris ceux exécutant Windows. Les pirates informatiques entreprennent généralement cela via XSS, la redirection du trafic, les données remplies automatiquement, etc.

Pour éviter les compromis associés, il est conseillé aux utilisateurs de Microsoft d’utiliser un pare-feu fiable et de définir les mises à jour de Windows Defender sur automatiques.

Partager cette publication :