WordPress 4.7.2 a été publié il y a deux semaines, incluant un correctif pour une vulnérabilité sévère dans l’API REST de WordPress. Nous avons monitoré de près notre réseau WAF et nos honeypots* pour voir comment et quand les attaquants tenteraient d’exploiter cette question concrètement.

En moins de 48 heures après la divulgation de la vulnérabilité, nous avons remarqué plusieurs pénétrations réussies et mises en ligne publiquement. Grâce à cette information accessible facilement, les tentatives de pénétration et d’exploitation à l’échelle de l’Internet ont commencé.

* Dans le jargon de la sécurité informatique, un honeypot (en français pot de miel) est une méthode de défense active qui consiste à attirer, sur des ressources (serveur, programme, service), des adversaires déclarés ou potentiels afin de les identifier et éventuellement de les neutraliser.

Les correctifs ne sont pas appliqués

WordPress dispose d’une fonctionnalité de mise à jour automatique activée par défaut, ainsi qu’un processus de mise à jour manuel simple,  « en 1 clic ». Malgré cela, tout le monde n’est pas au courant du problème et tout le monde ne peut pas mettre à jour son site. Cela conduit à un grand nombre de sites étant compromis et modifiés par les hackers.

Nous sommes actuellement en train de suivre quatre groupes de pirates différents effectuant des analyses de masse et tentant d’exploiter des failles pour y modifier les contenus de sites. Nous voyons les mêmes adresses IP et hackers frapper presque tous nos « honeypots » et réseaux.

Si on se fie à Google, ces pirates semblent atteindre leur but.

Attaque # 1

Pour le premier groupe de pirates que nous appellerons « l’attaque 1 », Google montre déjà 200 000+ pages compromises :

Ils ont commencé leurs pénétrations en moins de 48 heures. Nous supposons que Google n’a pas encore indexé toutes les pages compromises. Le nombre de résultats de Google devrait continuer d’augmenter à mesure que l’indexation se poursuit.

Adresses IP utilisées:

  • 176.9.36.102
  • 185.116.213.71
  • 134.213.54.163
  • 2a00:1a48:7808:104:9b57:dda6:eb3c:61e1

Groupe de hackers derrière cette attaque : by w4l3XzY3.

Nous vous recommandons de bloquer ces adresses IP et d’étudier leur activité via vos logs. Surtout si vous n’avez pas effectué la mise à jour dans les temps.

Attaque # 2

Cette deuxième vague d’attaques n’est pas aussi réussie. Elle comptabilise un nombre de résultats Google montrant seulement ~400 pages compromises. Cette attaque a débuté il y a quelques heures, nous n’avons donc probablement pas assez de recul vis-à-vis des pages indexées dans Google.

Adresse IP:

  • 37.237.192.22

Groupe de hackers derrière cette attaque : Cyb3r-Shia.

Attaques # 3 et # 4

Cette attaque est quant à elle plus singulière puisque deux hackers différents partagent la même adresse IP. Toujours selon Google, l’un des pirates a compromis ~3.000 pages et l’autre 1.000 pages.

Adresse IP:

  • 144.217.81.160

Groupes de hackers derrière ces attaques : By+NeT.Defacer & By+Hawleri_hacker.

Nous n’aimons pas nommer les hackers car cela leur fait de la publicité. Nous partageons leurs noms pour pouvoir mieux suivre leur croissance et comparer le phénomène avec d’autres sociétés de sécurité. Si vous avez été piraté par l’un d’eux, ou si vous voyez apparaître leurs noms dans les articles de votre blog, c’est qu’ils ont probablement utilisé la vulnérabilité de l’API REST de WordPress pour compromettre votre site.

Le spam SEO va être un problème

Les vagues d’attaques visant à modifier vos contenus sont en plein essor et augmentent de jour en jour, mais nous croyons que cela diminuera dans les prochains jours. Ce que nous nous attendons à voir est une augmentation des tentatives de spam SEO (Search Engine Poisoning). Il y a déjà quelques tentatives d’exploitations ayant pour but d’ajouter des images et des contenus litigieux aux articles. Les possibilités de monétisation seront probablement la première motivation des hackers pour exploiter cette vulnérabilité.

Voici les tentatives d’exploitation contre notre réseau WAF durant les 5 derniers jours :

Cette vulnérabilité est très récente et l’issue peut changer dans les prochains jours. Nous continuerons à partager des mises à jour au fur et à mesure que ce problème progresse.

Par Daniel B. Cid @danielcid, fondateur et CTO de Sucuri (traduction Mr WP).

Source :