Sur cette page: [cacher]
Les chercheurs en sécurité ont récemment signalé une vulnérabilité du plugin File Manager. Qui menaçait initialement plus de 700,000 Sites WordPress. toutefois, dans quelques jours, le nombre de sites attaqués atteints 2.6 million.
Plusieurs attaquants exploitant la vulnérabilité du plug-in du gestionnaire de fichiers
Selon Wordfence (De défi) des chercheurs, plusieurs acteurs de la menace sont à blâmer pour ces attaques, avec deux acteurs de menace spécifiques étant les plus réussis dans les exploits. Il semble que ces attaquants protègent désormais par mot de passe les copies vulnérables d'un fichier spécifique, connu sous le nom de connector.minimal.php.
Les plus actifs de ces attaquants ont été identifiés comme “bajatax”. Cela a déjà volé les informations d'identification des sites PrestaShop. Les indicateurs de compromission découverts par les chercheurs comprennent des fichiers simples contenant les “bajatax” chaîne. Et les modifications apportées aux données d'origine connector.minimal.php vulnérables. Cette dernière ligne est conçue pour verrouiller tous les autres attaquants potentiels. Les chercheurs’ les découvertes indiquent que ces fichiers sont utilisés par certaines des adresses IP les plus dynamiques déployées dans les attaques.
Un code malveillant sera ajouté aux sites infectés. Ce code utilise l'API de Telegram pour exfiltrer les informations d'identification de tous les utilisateurs se connectant au site compromis. Aussi, le même principe est ajouté au dossier user.php, qui est un fichier WordPress de base.
Le deuxième attaquant exploitant la vulnérabilité du gestionnaire de fichiers avec un grand succès abandonne un infecteur spécifique, feoidasf4e0_index.php, avec un hachage MD5 de 6ea6623e8479a65e711124e77aa47e4c. Et une porte dérobée insérée par cet infecteur, Wordfence dit dans le rapport officiel. Cet attaquant est également un mot de passe protégeant le connector.mininal.php pour tenter de verrouiller d'autres acteurs de la menace.
Les chercheurs soulignent également que la porte dérobée utilisée par ce deuxième acteur est utilisée depuis de nombreuses années.. toutefois, plusieurs copies peuvent être dispersées sur un seul site infecté, conduisant à la persistance si aucune protection n'est présente.
en outre, une fois que les portes dérobées sont installées avec succès. L'attaquant les utilise pour apporter plus de modifications aux fichiers WordPress principaux.
Que devez-vous faire si vous avez utilisé une version vulnérable du plugin File Manager?
Le meilleur conseil de sécurité est d'utiliser un outil de sécurité pour analyser votre site à la recherche de logiciels malveillants. Si vous découvrez que votre site a été compromis par les attaques décrites dans cet article. Vous devriez envisager de nettoyer votre site Web avant de faire quoi que ce soit d'autre.
Si vous êtes propriétaire d'un site e-commerce, vous devez également contacter tous vos utilisateurs. Leur faire savoir que leurs informations d'identification ont peut-être été compromises. Vous pouvez également tester la sécurité globale de votre site Web en utilisant les conseils que nous avons fournis dans l'article ci-dessous:
Lire aussi Comment tester la sécurité de votre site WordPress