Un fichier JavaScript injecte des backdoors en série sur les sites WordPress pour piéger durablement les serveurs. Si vous avez l’habitude d’exécuter des scripts tiers sans en vérifier l’origine, il est temps de mettre un terme à cette mauvaise pratique.
Un seul fichier JavaScript, quatre backdoors, un millier de plateformes infectées. En termes d’efficacité, on aura rarement fait mieux. Après enquête, les équipes de sécurité de c/side ont découvert qu’environ 1 000 sites WordPress avaient été compromis par un script malveillant. Une fois exécuté, il installe quatre portes dérobées distinctes pour multiplier les points d’entrée et compliquer toute tentative de neutralisation.
Une infection en quatre actes
C’est après avoir identifié du code malveillant, encore actif sur au moins 908 sites, que les chercheurs et chercheuses de c/side ont communiqué sur l’infection.
Dans le détail, l’analyse de l'attaque a révélé une approche méthodique, pensée pour garantir aux hackers un accès durable aux sites compromis. Chargé via un script tiers, le fichier JavaScript s’exécute lorsqu’un administrateur WordPress ouvre son tableau de bord WordPress, et profite de cette session active pour déployer quatre portes dérobées.
La première consiste à installer un faux plugin baptisé Ultra SEO Processor. L’opération passe inaperçue grâce à la récupération automatique du jeton de sécurité WordPress, garde-fou justement conçu pour empêcher ce type d’abus. Une fois en place, le module frauduleux exécute des commandes à distance et reste caché dans l’interface d’administration.
En parallèle, le JavaScript injecte du code malveillant directement dans wp-config.php pour garantir son exécution automatique à chaque chargement du site, même en cas de suppression manuelle du plugin Ultra SEO Processor.
Pour s’affranchir totalement des restrictions liées à WordPress, une troisième backdoor ajoute une clé SSH non autorisée dans le fichier ~/.ssh/authorized_keys. De cette manière, les pirates s’offrent un accès direct au serveur, sans passer par l’interface WordPress. De fait, un simple nettoyage des fichiers du CMS ne suffira donc pas : tant que la clé SSH est active, les attaquants peuvent reprendre le contrôle du site à tout moment.
Enfin, un quatrième mécanisme d’exécution de commandes permet de récupérer un second payload, probablement pour ouvrir un reverse shell, technique courante utilisée pour prendre le contrôle total d’un serveur.
Couper toutes les têtes de l'Hydre, sinon rien
Quatre backdoors, c’est amplement suffisant pour permettre à l’infection de résister aux tentatives de suppression traditionnelles. Pour se débarrasser du script, il faudra toutes les traquer.
Si vous tombez sur le plugin Ultra SEO Processor, désinstallez-le immédiatement. Jetez un œil au fichier ~/.ssh/authorized_keys et supprimez les clés SSH non autorisées. N’oubliez pas de passer au crible les fichiers wp-config.php et index.php à la recherche de code malveillant. Pour terminer, changez immédiatement vos identifiants d’accès à WordPress et à votre serveur FTP.
Gardez en tête que la très grande majorité des infections WordPress découlent de plugins vérolés ou de fichiers tiers compromis. Par conséquent, limitez l’usage de scripts externes, téléchargez vos modules via la source officielle, privilégiez les extensions populaires et récemment updatées, appliquez les mises à jour dès leur disponibilité.
Source : c/side
30 décembre 2024 à 10h23
