Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

WordPress : Plus de 90 000 sites et blogs seraient victimes d'attaques lancées par quatre groupes de hackers
Altérant ainsi leur contenu

Le , par Malick

22PARTAGES

8  0 
Nous vous annoncions récemment que la version 4.7.2 de Wordpress a été libérée en urgence afin de corriger trois failles de sécurité dont une faille de type injection SQL et XSS (Cross-site scripting). En effet, cette nouvelle version est sortie juste deux semaines après que l'équipe de WordPress avait annoncé la disponibilité de la version 4.7.1 de son système de gestion de contenu (CMS en anglais) qui intègre la correction de huit (8) failles de sécurité et plusieurs bogues estimés à 62.

D'après les informations recueillies, la dernière version de WordPress en l'occurrence la version 4.7.2 n'a pas permis de corriger les failles de sécurité sur les versions antérieures au 4.7. Selon le cabinet de sécurité Sucuri, l'ensemble des sites et blogs qui n'ont pas encore fait l'objet de mise à jour sont exposés à une vaste campagne d'attaques par injection SQL qui seraient lancées par quatre groupes de hackers. Sucuri affirme qu'en exploitant les failles de sécurité, les hackers sont en mesure de changer le contenu des sites ou blogs infectés ainsi que le titre des pages, cela en y ajoutant des images et leur nom. Aujourd'hui, Google a déjà référencé plus de 90 000 sites déjà infectés via les attaques de l'un des groupes les plus actifs. Pour s'en assurer, il suffit de taper « by w4l3XzY3 » sur le moteur de recherche de la firme de Mountain View.


Sucuri nous informe que les adresses IP utilisées par le groupe de hackers w4l3XzY3 sont les suivantes :
  • 176.9.36.102 ;
  • 185.116.213.71 ;
  • 134.213.54.163 ;
  • 2A00: 1a48: 7808: 104: 9b57: dda6: eb3c: 61e1.

Quant aux trois autres campagnes lancées par les groupes de hackers Cyb3r-Shia, By+NeT.Defacer et By+Hawleri_hackequi, Google a référencé près de 500 victimes pour chacune d'elles. Sucuri lui a identifié les adresses IP ci-après :
  • 37.237.192.22 ;
  • 144.217.81.160.

« WordPress dispose d'une fonctionnalité de mise à jour automatique activée par défaut, en même temps qu'une procédure de mise à jour manuelle en un clic. Malgré cela, plusieurs personnes ne sont pas au courant de ce problème qui affecte l'API REST ou ne sont pas en mesure de mettre à jour leur site. Cela conduit à un grand nombre de sites compromis et altérés », a déclaré Sucuri.

Face à ces menaces, le cabinet de sécurité Sucuri invite tous les utilisateurs à procéder à la mise à jour de leur système de gestion de contenu (CMS). Il est également recommandé de bloquer les adresses IP citées ci-dessus.

Source : Sucuri

Et vous ?

Que pensez-vous de cette vulnérabilité ?
Avez-vous déjà été infectés ?
Avez-vous procédé à la mise à jour de votre version de WordPress ?

Voir aussi
WordPress sort en urgence la mise à jour 4.7.2 pour corriger trois failles de sécurité incluant une faille de type injection SQL et XSS

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Geoffrey74
Membre éclairé https://www.developpez.com
Le 24/02/2017 à 7:06
Voila pourquoi j'évite autant que possible l'utilisation de CMS, toujours à la merci d'une faille que peut ne pas être comblée rapidement

371 000 résultat ce matin !

Je l'ai vu à mainte reprise, souvent des "développeur" propose la mise en place d'un site pour quelques centaine d'euros, en posant un wordpress, un thème gratuit et hop, c'est en place.
Au départ tout est à jours (et encore pas toujours), mais avec le temps, aucun suivi n'est fait et le propriétaire n'y connaissant rien, pense que tout est OK et ne se doute même pas que leur site n'est pas à jour et sécurisé.

Vrai question, un webmaster peut il est inquiété pour ce genre de chose ? Même si il n'est pas sous contrat, doit il avoir un devoir de morale envers ses clients ?
1  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 09/02/2017 à 10:46
Ca me fait pensé que récemment j'ai reçu un mail de Google Search Console me disant que mon site wordpress présentait une vulnérabilité lié au fait que je n'était pas en version 4.7.2 et me mettant a dispo des liens pour tester la sécurité et savoir comment s'en prémunir.

Ca faisait très pro, sauf que :

- mon site avait déjà ete mis a jour 2h avant
- l'adresse email d'ou cela vient est assez étrange : sc-noreply@google.com
- il n'y avait aucune relation entre mon mail sur lequel j'ai recu ce mail et mon site.

Il est très facile de générer une entête de mail pour usurper n'importe quel adresse mail, et j'imagine que si j'avais utiliser les liens j'aurais eu des souci.

donc gaffe aux mail de google search console :

voila ce qu'on trouve sur le web : https://blog.sucuri.net/2015/09/mali...fications.html au sujet de ce mail sc-noreply@google.com
0  0 
Avatar de bilbot
Membre averti https://www.developpez.com
Le 09/02/2017 à 12:18
Du coup ça concerne juste l'api XML rpc ?
0  0 
Avatar de Zefling
Membre expert https://www.developpez.com
Le 09/02/2017 à 17:21
Citation Envoyé par Aiekick Voir le message
Ca me fait pensé que récemment j'ai reçu un mail de Google Search Console me disant que mon site wordpress présentait une vulnérabilité lié au fait que je n'était pas en version 4.7.2 et me mettant a dispo des liens pour tester la sécurité et savoir comment s'en prémunir.

Ca faisait très pro, sauf que :

- mon site avait déjà ete mis a jour 2h avant
- l'adresse email d'ou cela vient est assez étrange : sc-noreply@google.com
- il n'y avait aucune relation entre mon mail sur lequel j'ai recu ce mail et mon site.

Il est très facile de générer une entête de mail pour usurper n'importe quel adresse mail, et j'imagine que si j'avais utiliser les liens j'aurais eu des souci.

donc gaffe aux mail de google search console :

voila ce qu'on trouve sur le web : https://blog.sucuri.net/2015/09/mali...fications.html au sujet de ce mail sc-noreply@google.com
Si t'as un compte sur Google Webmasters avec ton domaine associé, ça arrive que leur robot rapporte des erreurs : augmentation soudaine de 404, formulaire de connexion pas en HTTPS, pages mobiles foireuses, etc.
0  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 09/02/2017 à 18:01
oui mais la apparemment c'était un faux mail pour phishing
0  0 
Avatar de Zefling
Membre expert https://www.developpez.com
Le 09/02/2017 à 20:41
J'inspecte toujours les liens avant de cliquer. Jamais trop prudent.
0  0 
Avatar de BenaeSan
Membre du Club https://www.developpez.com
Le 13/02/2017 à 15:58
Apres recherche sur google, on est passé à 269 000 sites.
0  0 
Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 24/02/2017 à 9:46
S'il n'est pas sous contrat, que le client n'a pas payé pour de la maintenance, on ne peut rien reprocher au développeur. Il ne va pas bosser gratuit non plus...
Par contre il a un devoir de conseil, il doit avertir son client qu'il existe toujours un risque d'exploitation de failles, notamment si on n'est plus à jour, qui est plus répandu avec un CMS qu'avec une solution développée, au client de faire son choix (c'est pas le même tarif). Il y a certains clients qui demandent qu'on leur mette en place le site, et ensuite ils font eux-même les mises à jour, donc la maintenance n'est pas de la responsabilité du développeur.
0  0 
Avatar de jfsenechal
Membre averti https://www.developpez.com
Le 24/02/2017 à 10:00
les pirates envoient simplement une charge utile vers l’API REST, ce qui leur permet d’élever leurs privilèges
Ca consite en quoi, quelqu'un sait m'expliquer ?
0  0 
Avatar de SkyZoThreaD
Membre expérimenté https://www.developpez.com
Le 24/02/2017 à 13:20
La charge utile ou "payload", c'est du code exécutable sous forme de texte qu'on fait passer par une faille de sécurité (un dépassement de tampon ou "overflow" la plupart du temps) et qui s’exécute sur la machine de la victime.
Comme le code n'est pas attendu par la machine, il est exécute sans contrôle de l'OS et obtient tous les droits sur le système.
La plupart du temps, les payloads sont très petits et permettent uniquement de créer une connexion avec la machine de l’attaquant qui reçoit un accès root par une connexion tcp.
Les firewalls standards n'aident pas car la demande de connexion vient de la machine de la victime et le firewall laisse passer les connexions dans ce sens là.
0  0