Plugin WordPress au thème du RGPD exploité par des attaquants

Attaque exploitent les failles d’un plugin WordPress au thème du RGPD pour pirater des sites Web

Les objectifs de la campagne ne paraissent pas immédiatement clairs, car les malfaiteurs ne semblent pas utiliser les sites Web détournés à d'autres fins néfastes.

Les objectifs de la campagne ne paraissent pas immédiatement clairs, car les malfaiteurs ne semblent pas utiliser les sites Web détournés à d’autres fins néfastes.

Les attaquants ont exploité une faille de sécurité dans un plugin WordPress de conformité au RGPD, afin de prendre le contrôle des sites Web vulnérables, selon un article de blog de Defiant, qui fait des plugins de sécurité Wordfence pour la plate-forme de publication Web.

Fait important, le développeur derrière le plugin, qui s’appelle WP GDPR Compliance, a publié un correctif corrigeant le défaut critique. Il est donc fortement conseillé à ses utilisateurs de passer à la version 1.4.3, ou bien de désactiver ou de supprimer l’outil.

Utilisé par plus de 100 000 sites Web cherchant à se conformer au Règlement général sur la protection des données (RGPD) de l’Union européenne, le plugin a été retiré du référentiel de plugins WordPress après la découverte de la faille. Il a cependant été rétabli rapidement avec la publication de la nouvelle version corrigeant cette faille.

Deux en un

Source : wordpress.org

S’il est laissé en place, l‘escalade des privilèges permet aux attaquants de s’emparer des sites impactés et de les utiliser pour une série d’autres actions malfaisantes. Il ne s’agit pas seulement d’une menace hypothétique, car il a été constaté que les attaquants compromettaient des sites Web vulnérables depuis environ trois semaines.

En fait, le plugin WordPress a été affecté par deux bogues distincts. Cependant, « avec des exploits potentiels vivant dans le même bloc de code et exécutés avec la même charge utile, nous traitons ceci comme une vulnérabilité d’escalade de privilège unique », peut-on lire dans le billet du blogue. Les chercheurs ont repéré deux types d’attaques tirant parti de la faille de sécurité : une plus simple et une plus complexe.

Comme on l’explique dans cet article de suivi, le premier – et le plus courant – scénario implique que les attaquants abusent du système d’enregistrement des utilisateurs sur un site Web ciblé afin de créer de nouveaux comptes administrateurs, ce qui leur donne carte blanche vis-à-vis du site.

Dans le cadre de leur routine malveillante, les attaquants « ferment les portes derrière eux », en inversant les changements de paramètres qui les laissent entrer et en désactivant l’enregistrement des utilisateurs. Il s’agit probablement d’éviter de déclencher des alarmes et de verrouiller les puits qui se font concurrence. Quelques heures plus tard, les attaquants sont de retour, se connectent avec leur accès administrateur et installent des backdoors (ou portes dérobées).

Dans le second type d’attaque, peut-être plus discret, les malfaiteurs utilisent le bogue pour abuser du planificateur de tâches de WordPress appelé WP-Cron. En résumé, ils injectent des actions malveillantes dans le planificateur de tâches afin d’établir des portes dérobées persistantes.

On ignore toujours pour l’instant comment les attaquants prévoient au final tirer profit des sites Web détournés. Quoi qu’il en soit, les actions potentiellement néfastes sont multiples et comprennent l’hébergement de sites d’hameçonnage et l’envoi de courrier indésirable.

Discussion