Cyberattaque

Des pirates informatiques ciblent 1,5 million de sites WordPress en exploitant le plugin de consentement aux cookies

Par Philippe Ternision , le 5 juin 2023 - 3 minutes de lecture
WordPress
Notez l'article

WordPress

Des attaques en cours ciblent une vulnérabilité XSS (Cross-Site Scripting) stockée et non authentifiée dans un plugin WordPress de consentement aux cookies appelé Beautiful Cookie Consent Banner, qui compte plus de 40 000 installations actives.

Dans les attaques XSS, les acteurs de la menace injectent des scripts JavaScript malveillants dans les sites web vulnérables qui s’exécuteront dans les navigateurs web des visiteurs.

Les conséquences peuvent être un accès non autorisé à des informations sensibles, un détournement de session, des infections par des logiciels malveillants via des redirections vers des sites web malveillants, ou une compromission complète du système de la cible.

La société de sécurité WordPress Defiant, qui a repéré les attaques, indique que la vulnérabilité en question permet également à des attaquants non authentifiés de créer de faux comptes d’administrateur sur des sites Web WordPress utilisant des versions de plugins non corrigées (jusqu’à la version 2.10.1 incluse).

La faille de sécurité exploitée dans cette campagne a été corrigée en janvier avec la sortie de la version 2.10.2.

“D’après nos archives, la vulnérabilité a été activement attaquée depuis le 5 février 2023, mais il s’agit de l’attaque la plus importante que nous ayons vue”, a déclaré Ram Gall, analyste des menaces.

“Nous avons bloqué près de 3 millions d’attaques contre plus de 1,5 million de sites, à partir de près de 14 000 adresses IP depuis le 23 mai 2023, et les attaques se poursuivent.”

Attaques bloquées
Attaques bloquées (Wordfence)

Malgré la nature à grande échelle de cette campagne d’attaque en cours, Gall indique que l’acteur de la menace utilise un exploit mal configuré qui ne déploierait probablement pas de charge utile même lorsqu’il cible un site WordPress utilisant une version vulnérable du plugin.

A découvrir  Des pirates abusent des publicités Google pour diffuser des logiciels malveillants dans des logiciels légitimes

Néanmoins, il est conseillé aux administrateurs ou aux propriétaires de sites web utilisant le plugin Beautiful Cookie Consent Banner de le mettre à jour avec la dernière version, car même une attaque ratée pourrait corrompre la configuration du plugin stockée dans l’option nsc_bar_bannersettings_json.

Les versions corrigées du plugin ont également été mises à jour pour s’auto-réparer dans le cas où le site web aurait été la cible de ces attaques.

Bien que la vague actuelle d’attaques ne soit peut-être pas en mesure d’injecter des sites web avec une charge utile malveillante, l’acteur de la menace à l’origine de cette campagne pourrait s’attaquer à ce problème à tout moment et potentiellement infecter tous les sites qui restent exposés.

La semaine dernière, des acteurs de la menace ont également commencé à sonder l’internet à la recherche de sites WordPress utilisant des versions vulnérables des plugins Essential Addons for Elementor et WordPress Advanced Custom Fields.

Ces campagnes ont débuté après la publication d’exploits de preuve de concept (PoC), permettant à des attaquants non authentifiés de détourner des sites web après avoir réinitialisé les mots de passe administrateur et obtenu un accès privilégié, respectivement.

Source

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.