Une attaque massive cible 1,6 million de sites WordPress

Ces derniers jours, les analystes de chez Wordfence ont détecté une attaque massive qui cible 1,6 million de sites WordPress, en s'appuyant sur un pool de 16 000 adresses IP pour effectuer l'attaque.

En l'espace de 36 heures, le système de protection Wordfence a bloqué 13,7 millions de tentatives d'attaques qui ciblaient 1,6 million de sites WordPress, mais pas n'importe lesquels ! Cette attaque cible particulièrement 4 extensions WordPress et 15 thèmes WordPress d'Epsilon Framework, car ils contiennent des vulnérabilités connues. Certaines de ces vulnérabilités sont corrigées depuis 2018 tandis que d'autres viennent d'être corrigées il y a quelques jours par les développeurs, et il reste encore un thème avec une vulnérabilité non corrigée.

Plus précisément, voici la liste des extensions touchées avec les numéros de version vulnérables :

  • PublishPress Capabilities <= 2.3
  • Kiwi Social Plugin <= 2.0.10
  • Pinterest Automatic <= 4.14.3
  • WordPress Automatic <= 3.53.2

Concernant les thèmes vulnérables, voici la liste également :

  • Shapely <=1.2.8
  • NewsMag <=2.4.1
  • Activello <=1.4.1
  • Illdy <=2.1.6
  • Allegiant <=1.2.5
  • Newspaper X <=1.3.1
  • Pixova Lite <=2.0.6
  • Brilliance <=1.2.9
  • MedZone Lite <=1.2.5
  • Regina Lite <=2.0.5
  • Transcend <=1.1.9
  • Affluent <1.1.0
  • Bonkers <=1.0.5
  • Antreas <=1.0.6
  • NatureMag Lite – Pas encore patché !

Lorsque cette attaque réussit, les pirates parviennent à modifier deux options au sein de WordPress : "users_can_register" qui permet d'ouvrir les inscriptions sur le site, et "default_role" pour choisir le rôle par défaut des nouveaux inscrits, en indiquant la valeur "Administrateurs". Cela permet à l'attaquant de créer un compte sur le site et de devenir administrateur du site WordPress !

Pour vérifier l'état de votre site, il suffit de vérifier l'état de ces deux options via le menu "Réglages" puis "Général". Si vous utilisez l'un de ces plugins et/ou l'un de ces thèmes, vous devez effectuer les mises à jour sans attendre ! Pour le thème "NatureMag Lite", Wordfence recommande de ne plus l'utiliser, car il n'y a pas encore de mise à jour et il n'y a pas de solution temporaire pour se protéger, si ce n'est peut-être de restreindre l'accès à l'interface d'administration depuis une adresse IP publique spécifique.

Enfin, voici le top des adresses IP utilisées dans le cadre de cette attaque, sur un total de 16 000.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3500 posts and counting.See all posts by florian

One thought on “Une attaque massive cible 1,6 million de sites WordPress

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.