Les pirates informatiques ciblent les sites WordPress avec une version obsolète du plugin LiteSpeed Cache pour créer des utilisateurs administrateurs et prendre le contrôle des sites Web.

LiteSpeed Cache (LS Cache) est présenté comme un plugin de mise en cache utilisé dans plus de cinq millions de sites WordPress qui permet d’accélérer le chargement des pages, d’améliorer l’expérience des visiteurs et d’améliorer le classement des recherches Google.

L’équipe de sécurité d’Automattic, WPScan, a observé en avril une activité accrue de la part des acteurs de la menace qui recherchent et compromettent les sites WordPress avec des versions du plugin antérieures à 5.7.0.1, qui sont vulnérables à une faille de script intersite non authentifiée de haute gravité (8.8) répertoriée comme CVE-2023-40000.

À partir d’une adresse IP, 94[.]102[.]51[.]144, il y a eu plus de 1,2 million de demandes d’exploration lors de la recherche de sites vulnérables.

WPScan signale que les attaques utilisent du code JavaScript malveillant injecté dans des fichiers WordPress critiques ou la base de données, créant des utilisateurs administrateurs nommés « wpsupp‑user » ou « wp‑configuser ».’

Un autre signe d’infection est la présence de « eval(atob(Strings.fromCharCode « chaîne dans le » litespeed.admin_affichage.option » messages  » dans la base de données.

Code JS malveillant créant des utilisateurs admin voyous

Une grande partie des utilisateurs de LiteSpeed Cache ont migré vers des versions plus récentes qui ne sont pas affectées par CVE-2023-40000, mais un nombre important, jusqu’à 1 835 000, exécutent toujours une version vulnérable.

Plugin de Ciblage des Abonnés aux e-mails
La possibilité de créer des comptes d’administrateur sur les sites WordPress donne aux attaquants un contrôle total sur le site Web, leur permettant de modifier le contenu, d’installer des plugins, de modifier les paramètres critiques, de rediriger le trafic vers des sites dangereux, de distribuer des logiciels malveillants, de phishing ou de voler les données utilisateur disponibles.

Au début de la semaine, Wallarm a signalé une autre campagne ciblant un plugin WordPress nommé « Abonnés aux e-mails » pour créer des comptes d’administrateur.

Les pirates exploitent CVE-2024-2876, une vulnérabilité critique d’injection SQL avec un score de gravité de 9,8/10 qui affecte les versions de plug-in 5.7.14 et antérieures.

« Dans les cas d’attaques observées, CVE-2024-27956 a été utilisé pour exécuter des requêtes non autorisées sur des bases de données et établir de nouveaux comptes d’administrateur sur des sites WordPress vulnérables (par exemple, ceux commençant par « xtw »). »- Bras mural


Bien que les » abonnés aux e-mails  » soient beaucoup moins populaires que LiteSpeed Cache, avec un total de 90 000 installations actives, les attaques observées montrent que les pirates informatiques ne reculeront devant aucune opportunité.

Il est recommandé aux administrateurs de sites WordPress de mettre à jour les plugins vers la dernière version, de supprimer ou de désactiver les composants inutiles et de surveiller la création de nouveaux comptes d’administrateur.

Un nettoyage complet du site est obligatoire en cas de violation confirmée. Le processus nécessite la suppression de tous les comptes indésirables, la réinitialisation des mots de passe de tous les comptes existants et la restauration de la base de données et des fichiers du site à partir de sauvegardes propres.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *