WordPress : un nouveau malware exploite une vingtaine de failles !
Les sites WordPress sont actuellement pris pour cible par un logiciel malveillant destiné à Linux. Ce malware est capable d'exploiter des vulnérabilités situées dans une grosse vingtaine d'extensions et thèmes !
C'est du côté de Docteur Web que cette alerte a été lancée, par l'intermédiaire d'un rapport mis en ligne il y a quelques jours dans lequel on peut lire : "Si les sites utilisent des versions obsolètes de ces modules complémentaires, dépourvues de correctifs essentiels, les pages web ciblées sont utilisées pour injecter du code JavaScript malveillant." - Grâce à ce code téléchargé à partir d'un serveur distant, les cybercriminels parviennent à rediriger l'utilisateur vers un site malveillant, à la place du site visité initialement.
Une seconde version de cette souche malveillante existe et permet aux pirates de déployer une porte dérobée sur le serveur compromis. Celle-ci se connecte ensuite à un serveur C2 distant. Par ailleurs, une fonction de brute force pourrait être implémentée par la suite, d'où l'intérêt d'utiliser un mot de passe robuste pour le compte d'administration de son site WordPress.
Voici la liste des thèmes et extensions ciblées par cette campagne malveillante :
- WP Live Chat Support
- Yuzo Related Posts
- Yellow Pencil Visual CSS Style Editor
- Easy WP SMTP
- WP GDPR Compliance
- Newspaper (CVE-2016-10972)
- Thim Core
- Smart Google Code Inserter (plus maintenu depuis le 28 janvier 2022)
- Total Donations
- Post Custom Templates Lite
- WP Quick Booking Manager
- Live Chat with Messenger Customer Chat de Zotabox
- Blog Designer
- WordPress Ultimate FAQ (CVE-2019-17232 et CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- ND Shortcodes
- WP Live Chat
- Hybrid
- Brizy
- FV Flowplayer Video Player
- WooCommerce
- Coming Soon Page & Maintenance Mode
- Onetone
- Simple Fields
- Delucks SEO
- Poll, Survey, Form & Quiz Maker d'OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews
Si vous utilisez l'un de ces plugins, vous devez vérifier que vous utilisez bien la dernière version. Dans le cas où l'extension n'a pas reçu de mises à jour depuis plusieurs mois, il est préférable de la désinstaller pour en choisir une autre (facile à dire, je sais).
Au sein de cette liste de noms, il n'est pas précisé quelles sont la ou les versions affectées, donc c'est assez difficile d'être certain d'être protégé... Dans cette liste, on retrouve tout de même WooCommerce, un plugin ultra populaire...
Enfin, Docteur Web a mis en ligne une liste de noms de domaine et adresses IP malveillantes associées à cette attaque. Voici les adresses IP :
109[.]234.38[.]69 198[.]24.166[.]222 193[.]37.213[.]197 45[.]9.148[.]48
A vos mises à jour !
