Les experts en sécurité avertissent qu’une série croissante d’attaques en ligne conçues pour s’introduire dans des zones mal sécurisées WordPress blogs alimente la croissance d’un botnet exceptionnellement puissant composé actuellement de plus de 90 000 serveurs Web.
Source : Cloudflare.com
Au cours de la semaine dernière, des analystes de diverses sociétés de sécurité et de réseautage ont suivi une augmentation alarmante des attaques dites de « force brute » de devinettes de mots de passe contre des sites Web propulsés par WordPress, peut-être le système de gestion de contenu le plus populaire utilisé aujourd’hui (ceci blog exécute également WordPress).
Selon la société de sécurité du site Web Incapsuleles responsables de cette campagne criminelle analysent Internet à la recherche d’installations WordPress, puis tentent de se connecter à la console d’administration de ces sites à l’aide d’une liste personnalisée d’environ 1 000 combinaisons de nom d’utilisateur et de mot de passe les plus couramment utilisées.
Co-fondateur d’Incapsule Marc Gaffan a déclaré à BreachTrace que les sites infectés seront dotés d’une porte dérobée qui permet aux attaquants de contrôler le site à distance (les portes dérobées persistent, que le propriétaire légitime du site modifie ou non son mot de passe). Les sites infectés sont ensuite enrôlés dans le botnet du serveur attaquant et forcés de lancer des attaques de devinettes de mot de passe contre d’autres sites exécutant WordPress.
Gaffan a déclaré que le trafic généré par toute cette activité fait des ravages pour certaines sociétés d’hébergement Web.
« Cela nuit le plus aux fournisseurs de services, pas seulement avec le trafic entrant », a déclaré Gaffan. « Mais dès que ces serveurs sont piratés, ils bombardent maintenant d’autres serveurs avec du trafic d’attaque. Nous parlons de serveurs Web, pas d’ordinateurs personnels. Les PC peuvent être connectés à Internet avec une ligne de 10 mégabits ou 20 mégabits, mais les meilleurs fournisseurs d’hébergement ont une bande passante Internet essentiellement illimitée. Nous pensons qu’ils construisent une armée de zombies, de gros serveurs pour bombarder d’autres cibles pour une plus grande cause à venir.
En effet, tel était le message véhiculé jeudi en un article de blog de Houston, Texas basé HostGator, l’un des plus grands fournisseurs d’hébergement aux États-Unis. Les données de l’entreprise suggèrent que le botnet des installations WordPress infectées comprend désormais plus de 90 000 sites compromis.
« Au moment où je tape ces mots, il y a une attaque mondiale en cours et hautement distribuée contre les installations WordPress sur pratiquement tous les hébergeurs existants », a écrit HostGator. Sean Valant. « Cette attaque est bien organisée et encore une fois très, très distribuée ; nous avons vu plus de 90 000 adresses IP impliquées dans cette attaque.
Cette évaluation a trouvé écho dans un article de blog jeudi par Cloud Flare, réseau de distribution de contenu basé à San Francisco. PDG de Cloudflare Matthieu Prince a déclaré que les tactiques employées dans cette attaque sont similaires à celles utilisées par les criminels pour construire le soi-disant botnet itsoknoproblembro/Brobot qui, à l’automne 2012, a été responsable d’une série de cyberattaques assez importantes contre les plus grandes institutions financières américaines.
« L’une des préoccupations d’une attaque comme celle-ci est que l’attaquant utilise un botnet relativement faible de PC domestiques afin de créer un botnet beaucoup plus grand de serveurs costauds en vue d’une future attaque », a écrit Prince. « Ces machines plus grandes peuvent causer beaucoup plus de dégâts lors d’attaques DDoS car les serveurs ont de grandes connexions réseau et sont capables de générer des quantités importantes de trafic. »
Valant de HostGator a exhorté les administrateurs WordPress à changer leurs mots de passe pour quelque chose qui répond aux exigences de sécurité spécifiées sur le site WordPress. Ces exigences sont assez typiques d’un mot de passe sécurisé : des lettres majuscules et minuscules, d’au moins huit caractères, et comprenant des caractères « spéciaux » (^%$#&@*). Pour en savoir plus sur la sélection de mots de passe forts, consultez ce didacticiel. Les utilisateurs peuvent également restreindre l’accès à wp-admin afin qu’il ne soit accessible qu’à partir d’adresses IP spécifiques.
De plus, les utilisateurs de WordPress peuvent profiter d’un plugin tiers de Duo Securityqui permet des connexions sécurisées à l’aide de codes à usage unique envoyés par SMS ou via une application mobile associée.
Matthieu Mullenwegle développeur fondateur de WordPress, suggère les administrateurs du site ont choisi un nom d’utilisateur autre que « admin ». En outre, il a exhorté les blogs hébergés par WordPress.com à activer l’authentification à deux facteurs, et pour vérifier que le site exécute la dernière version de WordPress. « Faites ceci et vous serez en avance sur 99% des sites et vous n’aurez probablement jamais de problème », a écrit Mullenweg.
Daniel Ciddirecteur technique de Sucuri Sécurité, une entreprise qui aide les propriétaires de sites à prévenir les failles de sécurité et à s’en remettre, a déclaré que son équipe ne voyait pas de sites infectés utilisés pour en attaquer d’autres ; selon Cid, la majeure partie du forçage brutal des mots de passe est effectuée par des systèmes de bureau sous le contrôle des attaquants.
« Nous avons constaté une forte augmentation du nombre d’attaques par force brute (presque triplé) depuis la moyenne du mois précédent », a écrit Cid dans une interview par message instantané. « Cependant, du moins d’après nos données, ils ne réutilisent pas les sites compromis pour créer un botnet afin d’en analyser d’autres. Je suppose que c’est de la spéculation. Sur les sites nous avons regardé [at] qui ont été piratés, les attaquants y ont injecté des portes dérobées et des logiciels malveillants », y compris le Blackhole Exploit Kit. Cid a également partagé une copie de la liste des noms d’utilisateur/mots de passe que les attaquants utilisaient pour le forçage brutal.
« Les attaques par force brute ne semblent pas provenir de serveurs, mais de postes de travail », a déclaré Cid. « Cependant, c’est encore très tôt, car ils injectent des portes dérobées (une variante du Fileman porte dérobée), ils peuvent ensuite utiliser les sites pour injecter des logiciels malveillants ou même créer un botnet et forcer brutalement d’autres sites.
Selon Sucuri, les administrateurs WordPress qui ont été piratés devraient sérieusement envisager de prendre les mesures suivantes pour expulser les intrus et les infections :
– Connectez-vous au panneau d’administration et supprimez tous les utilisateurs administrateurs inconnus.
– Modifiez tous les mots de passe de tous les utilisateurs administrateurs (et assurez-vous que tous les comptes légitimes sont protégés par des mots de passe forts cette fois).
– Mettre à jour les clés secrètes dans WordPress (sinon, tout utilisateur admin non autorisé peut rester connecté).
–Rréinstallez WordPress à partir de zéro ou revenez à une sauvegarde connue et sûre.
Mise à jour, 15 h 05 HE : Titre de Gaffan corrigé.
Mise à jour, 18 h 29 HE : Ajout de citations et de conseils de Sucuri Security.
Mise à jour, 13 avril 2013, 12 h 14 HE : Ajout de commentaires de Mullenweg.