Le 'jeu de WordPresses': Botnet WordPress vs Autres installations WordPress

article

i Netflix dispose de Game of Thrones, WordPress propose un «jeu de WordPresses», puisque 20 000 instances de zombies WordPress fortes opèrent sur Internet et attaquent d'autres sites WordPress en bonne santé. Cet énorme botnet d'installations WordPress infectées est à la recherche d'autres sites basés sur WordPress à infecter, utilisant l'attaque par dictionnaire classique mais toujours pertinente pour déchiffrer les mots de passe du site WordPress de la victime.


Avec 20 000 membres et toujours en attente, ce botnet est capable de tenter de déchiffrer 5 millions de fois les mots de passe administrateur d'autres sites WordPress épurés depuis que des chercheurs de Defiant ont découvert son existence. L'attaque par dictionnaire est un moyen classique de pénétrer dans un système protégé par mot de passe en essayant tous les mots possibles contenus dans un dictionnaire par rapport à l'invite de connexion par mot de passe.


«Les acteurs de la menace ( hackers ) utilisent un groupe de quatre serveurs de commande et de contrôle (C2) pour envoyer des requêtes à plus de 14 000 serveurs proxy fournis par un fournisseur de proxy russe appelé best-proxies [.] Ru. Ils utilisent ces proxy pour anonymiser le trafic C2. Les demandes transitent par les serveurs proxy et sont envoyées à plus de 20 000 sites WordPress infectés. Ces sites exécutent un script d’attaque qui attaque les sites WordPress ciblés. Le diagramme ci-dessous illustre la chaîne d'attaque », a expliqué Mikey Veenstra.


La chaîne de tentatives visant à forcer brutalement le mot de passe contre WordPress propre devrait se refléter sur la page d’administration des véritables propriétaires du site WordPress qui ont été attaqués. Il montrera diverses machines avec des adresses IP liées à des services d’hébergement Web, car la plupart des bases d’installation de WordPress sont desservies par l’hébergement Web tiers au lieu d’être auto-hébergées.


Au moment d'écrire ces lignes, les autorités ne disposent d'aucun moyen connu pour supprimer de force les serveurs de commande et de contrôle utilisés par le botnet WordPress. Les pirates ont intelligemment signé pour HostSailor, qui est connu pour fournir un service d’hébergement Web sans répondre aux demandes de retrait des gouvernements. Defiant a conseillé aux administrateurs Web WordPress d'installer des plug-ins de sécurité dans leurs instances WordPress afin de bloquer la tentative du botnet de forcer brutalement le mot de passe de l'administrateur. Ces plugins spéciaux serviront de pare-feu empêchant plusieurs tentatives de connexion.


«De nombreuses données précieuses ont été recueillies dans le cadre de cette enquête. En raison de la nature de notre travail, notre équipe entretient des contacts avec plusieurs organismes chargés de l'application de la loi dans le monde entier. Bien que nous partagions généralement beaucoup de données sur ces articles de blog, telles que les adresses IP et d’autres indicateurs de compromis, nous avons choisi de conserver certaines de ces informations afin d’empêcher toute interférence avec de futures enquêtes. En plus de l'application de la loi, nous contacterons certains fournisseurs d'hébergement que nous avons identifiés avec un grand nombre de sites infectés «esclaves». Nous espérons que ces informations permettront de limiter l'efficacité de cette campagne en réduisant le nombre de sites actifs qui lancent des attaques », a ajouté Veenstra.


On ne sait toujours pas si WordPress lui-même publiera une mise à jour d'urgence empêchant le botnet de cibler les sites WordPress propres . Dans les versions précédentes de WordPress, de nouvelles mises à jour avaient été publiées pour résoudre des problèmes de sécurité spécifiques dans un délai raisonnable.


Lire aussi : Faille dans le plugin WordPress sur le thème RGPD utilisé pour détourner des sites Web