Joomla et WordPress, une cible constante des Botnets

Le piratage de sites Web est un des nombreux exemples d’attaque en ligne. Ces sites piratés sont utilisés pour héberger des menaces, qu’il s’agisse d’un fichier malveillant ou de pages de redirection.

Nous sommes récemment tombés sur un exemple qui révèle l’ampleur de la menace : un Backdoor (connu sous l’appellation BKDR_FIDOBOT.A), est utilisé pour attaquer plusieurs blogs sous WordPress. Il essaie de se connecter aux pages d’administrateur de  Joomla et WordPress (/administrator/index.php et /wp-login.php). Pour cela, il se connecte à un serveur C&C pour télécharger une liste de sites Internet à cibler, ainsi que des mots de passe utiles (admin est toujours  utilisé en tant que login). Les identifiants qui permettent une authentification réussie sont renvoyés à ce même serveur C&C.

En seulement une journée, ce backdoor a été utilisé pour tenter d’attaquer plus de 17 000 sites différents, ce qui représente tout de même plus de 100 000 sites ciblés en l’espace d’une semaine, et à partir d’une seule machine malveillante. Avec un réseau botnet complet, c’est un nombre exponentiel de sites qui aurait été ciblé.

Les sites ciblés sont pour la plupart aux États-Unis, et constituent presque deux-tiers des sites attaqués dans le monde. Ensuite, viennent les pays d’Europe qui font le top cinq. La majorité des sites affectés appartiennent à des particuliers ou à des PME, principaux utilisateurs de WordPress et Joomla pour la gestion des contenus.

WordPress-Sites-Under-Constant-Attack

Schéma 1. Répartition géographique des sites ciblés

Cette attaque est en elle-même particulièrement troublante. Cependant, à plus grande échelle, ces connexions en masse à plusieurs sites WordPress peuvent signifier les prémices d’une attaque plus virulente. Le réseau Botnet nommée Stealrat, par exemple, se sert de plusieurs sites WordPress infectés pour générer du spam et masquer ses opérations. Le célèbre Blackhole Exploit kit a également utilisé plusieurs sites WordPress pour rediriger les utilisateurs vers des contenus malveillants.

Ces menaces démontrent que les administrateurs de sites doivent sécuriser efficacement leurs outils de gestion de contenus (ou CMS pour Content Management Systems) tel que WordPress. Parmi les bonnes pratiques, les mises à jour permanentes du CMS et l’utilisation de mots de passe forts. Un site piraté peut nuire à des milliers d’utilisateurs, il est alors d’autant plus important pour les administrateurs de sécuriser les mots de passe, au travers notamment de paramètres et de plug-ins de sécurité dédié à leur CMS.

Autre point intéressant à propos du backdoor utilisé pour perpétrer cette attaque : les fichiers, dans leurs propriétés, apparaissent comme proposés par un éditeur de logiciel légitime, avec notamment une référence au programme PRISM de la NSA.

properties

Schéma 2. Propriétés de fichiers

L’infrastructure de sécurité Smart Protection Network nous a fourni l’information nécessaire à l’analyse de cette menace et à la protection de nos utilisateurs. Cette infrastructure propose également plusieurs couches de protection contre cette menace, avec notamment la neutralisation des communications avec le serveur C&C malveillant et la détection du backdoor.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.