Les pirates exploitent une faille critique affectant plus de 350000 sites WordPress

Les pirates exploitent activement une vulnérabilité qui leur permet d'exécuter des commandes et des scripts malveillants sur des sites Web exécutant File Manager, un plugin WordPress avec plus de 700000 installations actives, ont déclaré mardi des chercheurs. La nouvelle des attaques est arrivée quelques heures après la correction de la faille de sécurité.

À partir de là, ils ont une interface pratique qui leur permet d'exécuter des commandes dans plugins / wp-file-manager / lib / files /, le répertoire où réside le plugin File Manager. Bien que cette restriction empêche les pirates d'exécuter des commandes sur des fichiers en dehors du répertoire, les pirates peuvent être en mesure d'exiger plus de dégâts en téléchargeant des scripts qui peuvent effectuer des actions sur d'autres parties d'un site vulnérable.

Les pirates exploitent une faille critique affectant plus de 350000 sites WordPress

NinTechNet, une société de sécurité de sites Web de Bangkok, en Thaïlande, a été parmi les premiers à signaler les attaques dans la naturephp, puis l'utilisait pour injecter du code dans les scripts WordPress /wp-admin/admin-ajax.php et /wp-includes/user.php.

Backdooring sites vulnérables à grande échelle

Dans un e-mail, Jerome Bruandet, PDG de NinTechNet, a écrit:

Il est un peu trop tôt pour connaître l'impact, car lorsque nous avons attrapé l'attaque, les pirates essayaient simplement de porte dérobée des sites Web. Cependant, une chose intéressante que nous avons remarquée est que les attaquants injectaient du code pour protéger par mot de passe l'accès au fichier vulnérable (connector.minimal.php) afin que d'autres groupes de pirates ne puissent pas exploiter la vulnérabilité sur les sites déjà infectés.

Toutes les commandes peuvent être exécutées dans le dossier / lib / files (créer des dossiers, supprimer des fichiers, etc.) puis les exécuter et faire ce qu'ils veulent sur le blog .

Jusqu'à présent, ils téléchargent « FilesMan », un autre gestionnaire de fichiers souvent utilisé par les pirates. Celui-ci est fortement obscurci. Dans les prochaines heures et les prochains jours, nous verrons exactement ce qu'ils feront, car s'ils ont protégé le fichier vulnérable par mot de passe pour empêcher d'autres pirates d'exploiter la vulnérabilité, il est probable qu'ils s'attendent à revenir visiter les sites infectés.

Une autre firme de sécurité de sites Web Wordfence, quant à elle, a déclaré dans son propre message qu'elle avait bloqué plus de 450 000 tentatives d'exploitation au cours des derniers jours. Le message indique que les attaquants tentent d'injecter divers fichiers. Dans certains cas, ces fichiers étaient vides, probablement pour tenter de rechercher des sites vulnérables et, en cas de succès, d'injecter un fichier malveillant ultérieurement. Les fichiers téléchargés avaient des noms tels que hardfork.php, hardfind.php et x.php.

lui permettant potentiellement d'élever les privilèges une fois dans la zone d'administration du site », Chloe Chamberland, chercheuse en sécurité firme Wordfence, a écrit dans le message de mardi. « Par exemple, un attaquant pourrait accéder à la zone d'administration du site en utilisant un mot de passe compromis »

de 700000 = potentiel de dommages

Le plugin File Manager aide les administrateurs à gérer les fichiers sur les sites exécutant le système de gestion de contenu WordPress. Le plugin contient un gestionnaire de fichiers supplémentaire appelé elFinder, une bibliothèque open source qui fournit les fonctionnalités de base du plugin, ainsi qu'une interface utilisateur pour l'utiliser. La vulnérabilité provient de la façon dont le plugin a implémenté elFinder.

« Le cœur du problème a commencé avec le plugin du gestionnaire de fichiers renommant l'extension du fichier connector.minimal.php.dist de la bibliothèque elFinder en .php afin qu'il puisse être exécuté directement, même si le fichier de connecteur n'a pas été utilisé par le gestionnaire de fichiers lui-même. « , Expliqua Chamberland. « Ces bibliothèques incluent souvent des fichiers d'exemple qui ne sont pas destinés à être utilisés » tels quels « sans ajouter de contrôles d'accès, et ce fichier ne comportait aucune restriction d'accès direct, ce qui signifie que n'importe qui pouvait accéder au fichier. Ce fichier pourrait être utilisé pour lancer un elFinder et a été raccordé au fichier elFinderConnector.class.php.  »

Sal Aguilar, un entrepreneur qui met en place et sécurise les sites WordPress, s'est adressé à Twitter pour avertir des attaques qu'il voit.

« Oh merde ! ! !  » il a écrit. « La vulnérabilité WP File Manager est GRAVE. Elle se propage rapidement et je vois des centaines de sites infectés. Des logiciels malveillants sont en cours de téléchargement dans / wp-content / plugins / wp-file-manager / lib / files. »

La faille de sécurité est dans les versions de File Manager allant de 6.0 à 6.8. Les statistiques de WordPress montrent qu'actuellement, environ 52% des installations sont vulnérables. Avec plus de la moitié de la base installée de File Manager de 700 000 sites vulnérables, le potentiel de dommages est élevé. Les sites exécutant l'une de ces versions doivent être mis à jour vers 6.9 dès que possible.

Tags: ,