crédit photo © GlebStock -
Pas moins de 100 000 sites WordPress sont victimes d’une campagne d’infection propagée par un malware, avance l’entreprise de sécurité Sucuri. Dénommé SoakSoak (à cause du nom de domaine de redirection utilisé, Soaksoak.ru), la bestiole exploite une vulnérabilité du plug-in RevSlider de la célèbre plate-forme Open Source de création de sites web et gestion de contenus.
Le greffon Slider Revolution Premium de WordPress permet de gérer le glisser-déposer dans une page web. C’est un plug-in majeur, massivement téléchargé quand il n’est pas installé par défaut dans un thème (modèle). « Nous réhabilitons des milliers de sites et, lors de la prise de contact avec nos clients, un grand nombre d’entre eux n’avait aucune idée que le plug-in trônait au sein même de leur environnement », souligne Sucuri. Une ignorance d’autant plus problématique que le plug-in star est affaibli par une « vulnérabilité sérieuse » que l’expert en sécurité avait découverte en septembre dernier.
Les vulnérabilités permettent à SoakSoak de télécharger fichier de configuration et thème malveillants sur le site web tout en injectant une porte-dérobée qui permet aux assaillants de pénétrer la plate-forme sans passer par les contrôles d’accès habituels. A partir de là, les pirates installent une autre backdoor qui modifie le fichier swfobject.js afin d’installer le malware qui redirigera les visiteurs vers Soaksoak.ru, un site à éviter puisque potentiellement infectieux.
Sucuri prévient par ailleurs que « cette campagne fait également usage d’un certain nombre de nouvelles portes dérobées. Certaines sont injectées dans les images pour élargir la fraude, et d’autres sont utilisées pour installer de nouveaux utilisateurs administrateurs dans WordPress, leur donnant encore plus de contrôle sur le long terme ». La suppression des deux fichiers infectieux (swfobject.js et template-loader.php) ne suffit pas à nettoyer les plates-formes infectées tant que les backdoors permettront aux assaillants de pénétrer les systèmes. Selon Sucuri, seul un firewall, « un vrai », est à même de contrer ces attaques.
Pour lutter contre la propagation de SoakSoak, Sucuri propose évidemment son propre outil de détection et nettoyage en ligne. De son côté, Google a blacklisté 11 000 sites, probablement infectés, de son moteur de recherche, rapporte The Guardian. Pour l’heure, le taux d’infection reste faible : moins de 0,2 % des 70 millions de sites sous WordPress dans le monde sont concernés.
Lire également
Destover : le malware revient… et il est signé Sony
Le malware WireLurker piège iPhone et iPad via Mac OS X
WordPress, une faille transforme une extension de Newsletter en spammeur
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…