Au début du mois de février, plus d’un million de sites web WordPress ont fait les frais de plusieurs campagnes de défaçage. Des pirates ont exploité une faille de l’API REST présente dans les versions 4.7 et 4.7.1 du CMS WordPress afin de modifier les publications sur les sites gérés par le CMS, défigurant ainsi ces sites vulnérables. Ces campagnes de défaçage étaient si intenses qu’il a même été rapporté que plus de 90 ;000 pages web ont été défacées par seulement quatre groupes de hackers. Et dans plusieurs cas, l’on notait même que certains pirates écrasaient les défaçages effectués par d’autres pirates afin de laisser leurs propres empreintes sur ces sites exposés.
Pour mieux comprendre comment ces pirates sont parvenus à défigurer autant de sites avec succès, il faut savoir que l'API REST introduite dans les versions 4.7 et 4.7.1 permet d’afficher, de modifier, de supprimer ou de créer des publications. Vu qu’elle est activée par défaut dans ces deux versions, les pirates envoient simplement une charge utile (code malicieux) vers l’API REST, ce qui leur permet d’élever leurs privilèges et de modifier les publications sur les sites WordPress vulnérables. Selon Logan Kipp de l’entreprise de sécurité SiteLock, son « ;confort d’exécution est si faible et si facile que nous voyons des pirates amateurs prendre cet exploit et s’en donner à cœur joie ;». Cette faille a même été exploitée en exécutant du code à distance sur ces sites ayant les plug-ins Insert PHP, Exec-PHP ainsi que d’autres plug-ins similaires. En principe ces plug-ins permettent aux utilisateurs d’insérer directement dans les publications du code PHP afin d’effectuer plus facilement des personnalisations. Aussi, en couplant cette faille à ces plug-ins, les attaquants sont en mesure d’exécuter du code PHP tout en injectant du contenu dans les bases de données.
Même si ces campagnes sont assez persistantes, certains experts expliquent qu’elles ne durent pas longtemps, car les pirates trouvent difficilement les moyens de tirer des avantages pécuniaires. Toutefois, depuis quelques jours, l’on note une escalade dans les pratiques de ces tiers malveillants. En effet, ces derniers ont commencé à chercher les voies et moyens pour se faire de l’argent en exploitant cette faille. La trouvaille qu’ils ont eu à faire est de mettre sous les mots laissés sur les sites défigurés des liens renvoyant vers un site de pharmacie en ligne proposant un médicament pour lutter contre le dysfonctionnement érectile. SiteLock qui en a fait la découverte explique que si un internaute venait à entrer ses identifiants de carte de crédit afin d’acheter ce produit, ses identifiants seraient enregistrés et utilisés par ces pirates pour faire des achats ou vendus à d’autres personnes dans le pire des cas.
Pour se prémunir contre ses attaques, il est fortement conseillé de faire la mise à jour de WordPress en passant à la version 4.7.2 disponible depuis le mois de janvier. En principe, les CMS WordPress des utilisateurs devraient être à jour, car la mise à jour automatique est activée par défaut dans le produit. Mais si, comme le souligne Kaspersky, plus de 1,5 million de sites web sont encore exposés à ces attaques, c’est que les utilisateurs ont certainement préféré désactiver cette fonctionnalité.
Pour celui qui fait face à ce cas de défaçage de son site ou un site tiers, il est recommandé, en attendant de faire la dernière mise à jour, de le traiter comme s’il avait affaire à une à l’exploitation d’une vulnérabilité de type XSS en faisant le ménage au niveau des valeurs pointant vers le contrôleur de l’API.
Source : SiteLock, Kaspersky
Et vous ?
Que pensez-vous de cette situation vu qu’un correctif est déjà disponible ;?
Est-ce de la négligence de la part des utilisateurs de WordPress ;?
Voir aussi
WordPress sort en urgence la mise à jour 4.7.2 pour corriger trois failles de sécurité incluant une faille de type injection SQL et XSS
WordPress : Plus de 90 000 sites et blogs seraient victimes d'attaques lancées par quatre groupes de hackers altérant ainsi leur contenu
WordPress est de loin le CMS le plus ciblé par les cyberattaques en grande partie en raison du mauvais entretien et la négligence des webmasters
La Rubrique Web, Forum Sécurité Web, Cours et tutoriels Web, FAQ Web
Les pirates commencent à exploiter la faille de l'API REST de WordPress pour arnaquer les utilisateurs
Plus d'un million de sites sont vulnérables
Les pirates commencent à exploiter la faille de l'API REST de WordPress pour arnaquer les utilisateurs
Plus d'un million de sites sont vulnérables
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !