Getty Images
Des dizaines de modules complémentaires WordPress légitimes téléchargés à partir de leurs sources d’origine ont été découverts par une porte dérobée lors d’une attaque de la chaîne d’approvisionnement, ont déclaré des chercheurs. La porte dérobée a été trouvée sur “un certain nombre” de sites exécutant le système de gestion de contenu open source.
La porte dérobée a donné aux attaquants un contrôle administratif complet des sites Web qui utilisaient au moins 93 plugins et thèmes WordPress téléchargés à partir des thèmes AccessPress. La porte dérobée a été découverte par des chercheurs en sécurité de JetPack, le fabricant de logiciels de sécurité appartenant à Automatic, fournisseur du service d’hébergement WordPress.com et contributeur majeur au développement de WordPress. Au total, Jetpack a constaté que 40 thèmes AccessPress et 53 plugins étaient concernés.
Donner accès à l’attaquant sans le savoir
Dans un article publié jeudi, le chercheur de Jetpack, Harald Eilertsen, a déclaré que les horodatages et d’autres preuves suggéraient que les portes dérobées avaient été introduites intentionnellement dans une action coordonnée après la publication des thèmes et des plugins. Le logiciel concerné était disponible en téléchargement directement depuis le site AccessPress Themes. Les mêmes thèmes et plugins reflétés sur WordPress.org, le site officiel des développeurs du projet WordPress, sont restés propres.
“Les utilisateurs qui ont utilisé des logiciels obtenus directement à partir du site Web d’AccessPress ont sans le savoir fourni aux attaquants un accès par porte dérobée, ce qui a entraîné un nombre inconnu de sites Web compromis”, a écrit Ben Martin, chercheur au sein de la société de sécurité Web Sucuri, dans une analyse distincte de la porte dérobée.
Il a déclaré que le logiciel contaminé contenait un script nommé initial.php qui a été ajouté au répertoire principal du thème, puis inclus dans le fichier principal functions.php. L’analyse montre que Initial.php agissait comme un compte-gouttes qui utilisait l’encodage base64 pour camoufler le code qui téléchargeait une charge utile à partir de wp-theme-connect[.]com et l’a utilisé pour installer la porte dérobée en tant que wp-includes/vars.php. Une fois installé, le compte-gouttes s’est autodétruit pour tenter de garder l’attaque furtive.
Publicité
Le poste de Jetpack a déclaré que les preuves indiquent que l’attaque de la chaîne d’approvisionnement sur AccessPress Themes a été effectuée en septembre. Martin, cependant, a déclaré que les preuves suggèrent que la porte dérobée elle-même est beaucoup plus ancienne que cela. Certains des sites Web infectés avaient des charges utiles de spam remontant à près de trois ans. Il a déclaré que sa meilleure hypothèse était que les personnes derrière la porte dérobée vendaient l’accès à des sites infectés à des personnes diffusant des spams et des logiciels malveillants sur le Web.
Il a écrit : “Avec une si grande opportunité à portée de main, on pourrait penser que les attaquants auraient préparé une nouvelle charge utile ou un malware passionnant, mais hélas, il semble que le malware que nous avons trouvé associé à cette porte dérobée soit plus de le même : spam et redirections vers des sites malveillants et frauduleux. »
Le message Jetpack fournit les noms complets et les versions du logiciel AccessPress infecté. Toute personne exécutant un site WordPress avec les offres de cette société doit inspecter soigneusement ses systèmes pour s’assurer qu’elle n’exécute pas une instance dérobée. Les propriétaires de sites peuvent également envisager d’installer un pare-feu de site Web, dont beaucoup auraient empêché la porte dérobée de fonctionner.
L’attaque est le dernier exemple d’attaque de chaîne d’approvisionnement, qui compromet la source d’un logiciel légitime plutôt que d’essayer d’infecter des utilisateurs individuels. La technique permet aux malfaiteurs d’infecter un grand nombre d’utilisateurs, et elle a l’avantage d’être furtive, puisque le logiciel malveillant compromis provient d’un fournisseur de confiance.
Les tentatives de contacter AccessPress Themes pour obtenir des commentaires ont été infructueuses.