Sécurité IT : la menace Slider Revolution pèse sur WordPress

Cloud
securite-it-wordpress-slider-revolution

Des pirates ont infecté plusieurs dizaines de milliers de sites Web basés sur WordPress en exploitant une faille dans le plugin Slider Revolution.

Les systèmes anti-malware de Google ont tourné à plein régime entre dimanche et lundi, plaçant plus de 11 000 noms de domaines sur liste noire.

Sucuri est formel : ce phénomène est lié à une cyber-attaque qui a touché au moins une centaine de milliers de sites Internet propulsés par le CMS WordPress. L’éditeur d’origine brésilienne – et implanté dans l’Etat américain du Delaware – fait référence à une contribution blog du 3 septembre 2014 dans laquelle il avait attiré l’attention sur une faille de sécurité affectant le plugin Slider Revolution, destiné à faciliter la conception de diaporamas.

Deux mois et demi plus tard, la brèche est toujours activement exploitée… quand bien même un correctif a été diffusé. Et pour cause : de nombreux administrateurs n’ont tout simplement pas effectué la mise à jour. Certains se sont aperçus que le passage à une nouvelle version de ce plugin “Premium” perturbait le bon fonctionnement du back-office ; mais d’autres ignorent tout simplement que le site utilise Slider Revolution, car ce dernier est intégré dans le thème graphique.

La cyber-attaque repérée ce week-end s’appuie sur l’une des nombreuses vulnérabilités découvertes dans le plugin. Elle consiste à injecter, sur chaque page du site Web visé, du code malicieux qui déclenche le téléchargement de logiciels malveillants.

Les pirates ne s’en prennent qu’aux installations WordPress incluant Slider Revolution. Pour s’assurer de la présence du plugin, ils cherchent l’un des fichiers qui lui sont liés, en l’occurrence revicons.eot (police de caractères). Ils exploitent alors une faille qui leur permet de récupérer le fichier wp-config.php, dans lequel figurent des informations de connexion qui leur ouvrent l’accès à la base de données du site.

Le succès de cette attaque de type LFI (“Local File Inclusion”) conditionne la suite du processus : une autre vulnérabilité est utilisée pour télécharger un thème malveillant… et profiter d’une porte dérobée dans /wp-content/plugins/revslider/temple/update-extract/revslider/update.php pour contourner les contrôles d’accès. Reste alors à modifier le fichier wp-includes/js/swfobject.js avec une redirection vers le domaine soaksoak.ru (où se trouve le malware)… et à l’appeler sur chaque page par le biais du module de chargement du thème graphique (wp-includes/template-loader.php).

Les autres backdoors exploitées dans le cadre de cette cyber-attaque permettent notamment aux pirates d’ajouter des administrateurs aux installations WordPress afin de reprendre plus facilement le contrôle de sites infectés. Remplacer swfobject.js et template-loader.php élimine l’infection, mais ne supprime pas les points vulnérables. Pour Sucuri (qui a mis en ligne un outil de détection des sites Web touchés), le mieux est de protéger les serveurs avec un pare-feu.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?

Crédit photo : ARENA Creative – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur