Les sites WordPress sont actuellement pris pour cible par un logiciel malveillant destiné à Linux. Ce malware est capable d’exploiter des vulnérabilités situées dans une grosse vingtaine d’extensions et thèmes !
C’est du côté de Docteur Web que cette alerte a été lancée, par l’intermédiaire d’un rapport mis en ligne il y a quelques jours dans lequel on peut lire : « Si les sites utilisent des versions obsolètes de ces modules complémentaires, dépourvues de correctifs essentiels, les pages web ciblées sont utilisées pour injecter du code JavaScript malveillant. » – Grâce à ce code téléchargé à partir d’un serveur distant, les cybercriminels parviennent à rediriger l’utilisateur vers un site malveillant, à la place du site visité initialement.
Une seconde version de cette souche malveillante existe et permet aux pirates de déployer une porte dérobée sur le serveur compromis. Celle-ci se connecte ensuite à un serveur C2 distant. Par ailleurs, une fonction de brute force pourrait être implémentée par la suite, d’où l’intérêt d’utiliser un mot de passe robuste pour le compte d’administration de son site WordPress.
Voici la liste des thèmes et extensions ciblées par cette campagne malveillante :
WP Live Chat Support
Yuzo Related Posts
Yellow Pencil Visual CSS Style Editor
Easy WP SMTP
WP GDPR Compliance
Newspaper (CVE-2016-10972)
Thim Core
Smart Google Code Inserter (plus maintenu depuis le 28 janvier 2022)
Total Donations
Post Custom Templates Lite
WP Quick Booking Manager
Live Chat with Messenger Customer Chat de Zotabox
Blog Designer
WordPress Ultimate FAQ (CVE-2019-17232 et CVE-2019-17233)
WP-Matomo Integration (WP-Piwik)
ND Shortcodes
WP Live Chat
Hybrid
Brizy
FV Flowplayer Video Player
WooCommerce
Coming Soon Page & Maintenance Mode
Onetone
Simple Fields
Delucks SEO
Poll, Survey, Form & Quiz Maker d’OpinionStage
Social Metrics Tracker
WPeMatico RSS Feed Fetcher
Rich Reviews
Si vous utilisez l’un de ces plugins, vous devez vérifier que vous utilisez bien la dernière version. Dans le cas où l’extension n’a pas reçu de mises à jour depuis plusieurs mois, il est préférable de la désinstaller pour en choisir une autre (facile à dire, je sais).
Au sein de cette liste de noms, il n’est pas précisé quelles sont la ou les versions affectées, donc c’est assez difficile d’être certain d’être protégé… Dans cette liste, on retrouve tout de même WooCommerce, un plugin ultra populaire…
Enfin, Docteur Web a mis en ligne une liste de noms de domaine et adresses IP malveillantes associées à cette attaque. Voici les adresses IP :
109[.]234.38[.]69
198[.]24.166[.]222
193[.]37.213[.]197
45[.]9.148[.]48
A vos mises à jour !
L’article WordPress : un nouveau malware exploite une vingtaine de failles ! est disponible sur IT-Connect : IT-Connect.