Une attaque à grande échelle tente de voler des fichiers de configuration de sites WordPress
Des hackers ont lancé une campagne massive contre les sites WordPress il y a une semaine, en s’attaquant aux anciennes vulnérabilités des plugins non patchés afin de télécharger des fichiers de configuration de sites WordPress.
L’objectif de l’attaque était d’utiliser d’anciens exploits pour télécharger ou exporter des fichiers wp-config.php à partir de sites web non patchés, d’extraire les identifiants des bases de données, puis d’utiliser les noms d’utilisateur et les mots de passe pour s’emparer du contenu des bases de données.
Ram Gall, ingénieur en assurance qualité chez Wordfence, un fournisseur de services de pare-feu d’applications web (WAF), a déclaré que l’attaque avait pris des proportions énormes par rapport à ce que la société constatait quotidiennement.
Explosion des attaques
Ram Gall a déclaré que « cette campagne a représenté 75 % de toutes les tentatives d’exploitation des vulnérabilités des plugins et des thèmes dans l’écosystème WordPress ».
Selon des données publiée dans le cadre d’un message d’alerte, les attaques de type config-grab ont été trois fois plus importantes que toute autre forme d’attaque contre les sites WordPress sur la période en question.
Image : Wordfence
Ram Gall a déclaré que Wordfence avait bloqué plus de 130 millions de tentatives d’exploitation sur son seul réseau, qui visait plus de 1,3 million de sites WordPress, mais que les attaques auraient visé d’autres sites non couverts par le réseau de protection de Worfence.
L’ingénieur de Wordfence a déclaré que les attaques ont été menées à partir d’un réseau de 20 000 adresses IP différentes. La plupart de ces adresses IP avaient déjà été utilisées dans une autre campagne de grande envergure qui visait les sites WordPress au début du mois de mai.
Réplication d’une première attaque menée en mai dernier
Au cours de la première campagne, l’auteur de l’attaque a utilisé un lot de vulnérabilités XSS (cross-site scripting) et a tenté d’insérer de nouveaux comptes utilisateurs administrateurs et des portes dérobées sur des sites ciblés.
La première campagne a également été d’une ampleur similaire, les attaques XSS du groupe l’emportant sur toutes les attaques XSS menées par les autres groupes réunis (voir le deuxième tableau ci-dessous).
Ram Gall estime que les deux campagnes, bien qu’elles aient ciblé des vulnérabilités différentes, ont très probablement été orchestrées par le même acteur.
Source : ZDNet.com
