Un grand nombre de blogueurs utilisant WordPress signalent que leurs sites ont récemment été piratés et redirigent les visiteurs vers une page qui tente d’installer des logiciels malveillants.
Selon plusieurs publications sur le forum d’utilisateurs WordPress et d’autres blogs, l’attaque ne modifie ni ne crée de fichiers, mais semble plutôt injecter une adresse Web – « networkads.net/grep » – directement dans la base de données du site cible, de sorte que tout les tentatives d’accès au site piraté redirigent le visiteur vers networkads.net. Pire encore, en raison de la manière dont l’attaque est menée, les propriétaires de sites victimes sont au moins temporairement empêchés d’accéder à leurs blogs à partir de l’interface WordPress.
Il n’est pas encore clair si le point de compromis est une vulnérabilité WordPress (les utilisateurs de la dernière version corrigée semblent être les plus touchés), un plugin WordPress malveillant ou si un fournisseur de services commun peut être le coupable. Cependant, presque tous les propriétaires de sites concernés jusqu’à présent rapportent que Solutions réseau est leur fournisseur d’hébergement Web actuel.
porte-parole des solutions réseau Suzanne Wade a déclaré que la société enquêtait sur les attaques et qu’elle pensait que le problème pouvait être lié à un plugin WordPress malveillant. Wade a ajouté que les attaques ne se limitaient pas aux seuls clients de Network Solutions (bien que la société n’ait pas encore fourni à l’auteur de preuves à l’appui de cette affirmation).
UNE analyse du script qui a été vu poussé depuis le site networkads.net indique que les visiteurs d’un site piraté seront redirigés vers un site qui tente d’installer un plugin de navigateur ActiveX malveillant (ActiveX est une technologie de plugin qui affecte uniquement Internet Explorer navigateurs Web, mais les individus à l’origine de cette attaque pourraient éventuellement échanger différents logiciels malveillants à tout moment). Une analyse du fichier fourni par cette redirection montre une détection plutôt médiocre par la plupart des produits antivirus : Virustotal.com trouvé ça seuls 7 produits antivirus sur 39 l’ont détecté comme malveillant.
Les instructions de réparation suivantes semblent avoir fonctionné pour un certain nombre de clients de Network Solutions touchés par cette attaque.
-Connectez-vous à votre site sur networksolutions.com
– À l’aide de la console d’administration MySQL de Network Solution, accédez à la table wp_options et remplacez la valeur de « siteurl » par l’URL de votre blog . Par exemple : « http://exemple.com/wordpress ».
-Modifiez wp_config.php pour remplacer la valeur de SITEURL (de cette façon, même si la valeur de la base de données est modifiée, elle est remplacée par la valeur de configuration.
Pourtant, ce correctif ne peut être que temporaire, a déclaré David Dédéun expert en sécurité du Brésil qui tient le blog Sucuri Sécurité. Dede a déclaré avoir aidé près d’une douzaine de blogs à se remettre de l’incident, et tous étaient hébergés chez Network Solutions.
Dede a déclaré que sur chaque site, il avait complètement effacé la base de données et installé une nouvelle copie de WordPress, pour constater que quelques heures plus tard, l’adresse Web du site était redevenue « networkads.net/grep ». Pendant ce temps, cependant, les journaux d’accès au site n’ont montré aucune connexion à distance aux sites concernés, a-t-il déclaré.
« Donc, cela ne ressemble pas à un problème de plugin », a déclaré Dede.
Restez à l’écoute pour d’autres mises à jour.
Mise à jour, 12 avril, 10 h 49 HE : Il semble qu’il y ait plusieurs coupables ici. Selon une mise à jour sur le blog de Dede, un certain nombre de failles de sécurité ont contribué à cette attaque, notamment le fait que WordPress stocke les informations d’identification de la base de données en texte brut dans le fichier wp-config, que de nombreux utilisateurs de WordPress autorisent à lire par n’importe qui. Dede a également déclaré qu’un utilisateur malveillant de Network Solutions avait créé un script pour trouver les fichiers de configuration mal configurés.
Solutions réseau a a mis à jour son blog avec quelques pointeurs et astuces supplémentaires, mais en ce qui concerne « l’utilisateur malveillant de Network Solutions », le porte-parole de l’entreprise Shashi Belamkonda dirait seulement que « la cause profonde de ce problème a été résolue ».