Sécurité WordPress, un pirate cache une backdoor dans un faux plug-in

Un cybercriminel a caché le code d’une backdoor (porte dérobée en bon français) dans le code d’un plug-in WordPress travestie en outil de sécurité nommé « X-WP-SPAM-SHIELD-PRO ».

L’attaquant essayait évidemment de tirer partie de la réputation d’un plug-in WordPress légitime et très populaire appelé «WP-SpamShield Anti-Spam», un plug-in populaire, antispam pour les services WordPress auto-hébergés.

Au lieu de cela, les utilisateurs qui ont téléchargé X-WP-SPAM-SHIELD-PRO ont eu une mauvaise surprise sous la forme d’une porte dérobée qui permettait à l’attaquant de créer son propre compte admin sur le site, de télécharger des fichiers sur les serveurs de la victime, etc., en un mot, prendre totalement la main sur le service et plus encore si affinité.

L’ensemble des comportements malveillants était réparti sur plusieurs fichiers du faux plug-in.

Par exemple:

  • class-social-facebook.php – pose comme un outil de protection contre le spam des médias sociaux, mais le code trouvé renvoie une liste de la liste des plug-ins de l’utilisateur à l’attaquant et éventuellement désactive tous les plug-ins. La raison pour laquelle tous les plug-ins sont désactivés est d’arrêter tout autre plug-in axé sur la sécurité qui bloque l’accès aux fonctions de connexion ou détecte les connexions non autorisées du pirate informatique.
  • class-term-metabox-formatter.php – envoie la version WordPress de l’utilisateur à l’attaquant.
  • class-admin-user-profile.php – envoie une liste de tous les utilisateurs d’administration de WordPress à l’attaquant.
  • plugin-header.php – ajoute un utilisateur administrateur supplémentaire nommé mw01main.
  • wp-spam-shield-pro.php – contacte le serveur du pirate situé sur le domaine mainwall.org, permettant à l’attaquant de savoir quand un nouvel utilisateur a installé le faux plug-in. Les données envoyées par ce fichier comprennent l’utilisateur, le mot de passe, l’URL du site infecté et l’adresse IP du serveur.
    Ce dernier fichier comprend également un code pour permettre à l’attaquant de télécharger une archive ZIP sur le site de la victime, de le décompresser, puis d’exécuter les fichiers à l’intérieur.

Au moment où les chercheurs en sécurité ont trouvé le plug-in malveillant, le fichier ZIP offert pour téléchargement a été corrompu, mais les experts croient que l’attaquant déployait une fausse version du plug-in WordPress bien connu.

La règle du bon webmaster WP : Faites attention à ce que vous installez sur votre site WP, et backuper, backuper, backuper.

Selon Sucuri, la société de cybersécurité qui a découvert X-WP-SPAM-SHIELD-PRO, le plug-in n’a jamais été téléchargeable sur le dépôt officiel WordPress Plugins, étant mis à disposition par d’autres sources.

Sur le dépôt officiel, WordPress Plugins, ses administrateurs surveillent en permanence les plug-ins proposés pour téléchargement. De plus, la communauté détecte et rapporte souvent la plupart de ces menaces à temps.

Tout comme avec Google Play Store, Apple App Store et d’autres magasins officiels, il est préférable d’installer des plug-ins gratuits uniquement à partir du dépôt officiel. WordPress est déjà assez attaqué, il n’est pas utile d’augmenter les risques potentiels ;-).

Source : Sucuri.net

Pas de commentaire

Publier un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Activer les notifications Super merci ! Non merci !
Which Notifications would you like to receive?