Les attaques contre la chaîne d’approvisionnement des plugins WordPress s’intensifient

Les plugins WordPress continuent d’être attaqués par des pirates informatiques utilisant des informations d’identification volées (provenant d’autres violations de données) pour accéder directement au code du plugin. Ce qui rend ces attaques particulièrement préoccupantes, c’est que ces attaques sur la chaîne d’approvisionnement peuvent se faufiler car la compromission apparaît aux utilisateurs comme des plugins avec une mise à jour normale.

Attaque de la chaîne d’approvisionnement

La vulnérabilité la plus courante survient lorsqu’une faille logicielle permet à un attaquant d’injecter du code malveillant ou de lancer un autre type d’attaque.

La faille est dans le code. Mais une attaque de la chaîne logistique se produit lorsque le logiciel lui-même ou un composant de ce logiciel (comme un script tiers utilisé dans le logiciel) est directement modifié par un code malveillant. Cela crée une situation dans laquelle le logiciel lui-même fournit les fichiers malveillants.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis définit une attaque contre la chaîne d’approvisionnement (PDF) : « Une attaque contre la chaîne d’approvisionnement logicielle se produit lorsqu’un acteur de la cybermenace infiltre le réseau d’un fournisseur de logiciels et utilise un code malveillant pour compromettre le logiciel avant que le fournisseur ne l’envoie. à leurs clients. Le logiciel compromis compromet alors les données ou le système du client.

Les logiciels nouvellement acquis peuvent être compromis dès le départ, ou une compromission peut survenir par d’autres moyens, comme un correctif ou un correctif. Dans ces cas, la compromission se produit toujours avant que le correctif ou le correctif n’entre dans le réseau du client. Ces types d’attaques affectent tous les utilisateurs du logiciel compromis et peuvent avoir des conséquences étendues pour les clients de logiciels gouvernementaux, d’infrastructures critiques et du secteur privé.

Pour cette attaque spécifique contre les plugins WordPress, les attaquants utilisent des identifiants de mot de passe volés pour accéder aux comptes de développeurs qui ont un accès direct au code du plugin afin d’ajouter du code malveillant aux plugins afin de créer des comptes d’utilisateur de niveau administrateur sur chaque site Web qui utilise le code compromis. Plugins WordPress. Aujourd’hui, Wordfence a annoncé que d’autres plugins WordPress ont été identifiés comme ayant été compromis.

Il se peut très bien que davantage de plugins soient ou soient compromis. Il est donc bon de comprendre ce qui se passe et d’être proactif dans la protection des sites sous votre contrôle.

Plus de plugins WordPress attaqués

Wordfence a émis un avis indiquant que d’autres plugins avaient été compromis, notamment un plugin de podcasting très populaire appelé PowerPress Podcasting plugin de Blubrry.

Voici les plugins compromis récemment découverts annoncés par Wordfence :

  • Statistiques de santé du serveur WP (wp-server-stats) : 1.7.6 Version corrigée : 1.

    7.8 10 000 installations actives

  • Ad Invalid Click Protector (AICP) (ad-invalid-click-protector) : 1.2.

    9

    Version corrigée : 1.2.10 Plus de 30 000 installations actives
  • Plugin de podcasting PowerPress par Blubrry (powerpress) : 11.

    9.3 – 11.9.

    4

    Version corrigée : 11.9.6 Plus de 40 000 installations actives
  • Dernière infection – Images optimisées pour le référencement (seo-optimized-images) : 2.

    1.2

    Version corrigée : 2.1.

    4 Plus de 10 000 installations actives

  • Dernière infection – Pods – Types et champs de contenu personnalisés (pods) : 3.2.2 Version corrigée : aucune version corrigée n’est actuellement nécessaire.

    Plus de 100 000 installations actives

  • Dernière infection – Image Twenty20 avant-après (twenty20) : 1.6.2, 1.

    6.3, 1.5.

    4

    Version corrigée : aucune version corrigée n’est actuellement nécessaire. Plus de 20 000 installations actives

Voici le premier groupe de plugins compromis :

  • Guerre sociale
  • Widget Blaze
  • Élément de lien wrapper
  • Module complémentaire en plusieurs étapes pour le formulaire de contact 7
  • Montrez simplement les crochets

Plus d’informations sur l’attaque de la chaîne d’approvisionnement des plugins WordPress ici.

Que faire si vous utilisez un plugin compromis

Certains plugins ont été mis à jour pour résoudre le problème, mais pas tous.

Que le plugin compromis ait ou non été corrigé pour supprimer le code malveillant et que le mot de passe du développeur ait été mis à jour, les propriétaires de sites doivent vérifier leur base de données pour s’assurer qu’aucun compte d’administrateur malveillant n’a été ajouté au site Web WordPress. L’attaque crée des comptes d’administrateur avec les noms d’utilisateur « Options » ou « PluginAuth », ce sont donc les noms d’utilisateur à surveiller. Cependant, c’est probablement une bonne idée de rechercher tout nouveau compte d’utilisateur de niveau administrateur non reconnu au cas où l’attaque aurait évolué et que les pirates utiliseraient des comptes d’administrateur différents.

Les propriétaires de sites qui utilisent la version Wordfence gratuite ou Pro du plugin de sécurité Wordfence WordPress sont informés en cas de découverte d’un plugin compromis. Les utilisateurs de niveau professionnel du plugin reçoivent des signatures de logiciels malveillants pour détecter immédiatement les plugins infectés. L’avertissement officiel de Wordfence concernant ces nouveaux plugins infectés indique : « Si l’un de ces plugins est installé, vous devez considérer votre installation comme compromise et passer immédiatement en mode de réponse aux incidents.

Nous vous recommandons de vérifier vos comptes d’utilisateurs administratifs WordPress et de supprimer ceux qui ne sont pas autorisés, ainsi que d’exécuter une analyse complète des logiciels malveillants avec le plugin Wordfence ou Wordfence CLI et de supprimer tout code malveillant. Les utilisateurs de Wordfence Premium, Care et Response, ainsi que les utilisateurs payants de Wordfence CLI, disposent de signatures de malware pour détecter ce malware. Les utilisateurs gratuits de Wordfence recevront la même détection après un délai de 30 jours le 25 juillet 2024.

Si vous exécutez une version malveillante de l’un des plugins, vous serez averti par le scanner de vulnérabilités Wordfence que vous avez une vulnérabilité sur votre site et vous devez mettre à jour le plugin lorsqu’il est disponible ou le supprimer dès que possible.

En savoir plus:

Plugins WordPress compromis à la source – Attaque de la chaîne d’approvisionnement 3 autres plugins infectés dans l’attaque de la chaîne d’approvisionnement de WordPress.org en raison de mots de passe de développeur compromis Image présentée par Shutterstock/Moksha Labs

Tags: