Les pirates ont pris l’initiative de cibler un site Web WordPress exécutant le thème OneTone pour exploiter une vulnérabilité qui leur permettait de lire et d’écrire des cookies de page et de créer un compte administrateur back-end. L’événement se déroule depuis le début de ce mois et est toujours en cours de développement. La faiblesse est l’erreur de script cross-page (XSS) sur OneTone, un thème WordPress populaire mais maintenant déprécié développé par Magee WP, disponible en versions gratuite et payante.
La faiblesse est indécise
La faiblesse de XSS permet aux attaquants d’injecter du code malveillant dans les paramètres du thème. Le bug a été découvert par Jérôme Bruandet de NinTechNet en septembre de l’année dernière et a été signalé à l’auteur du thème et à l’équipe WordPress. Magee WP, qui n’a pas été mis à jour sur le site Web de Magee WP depuis 2018, n’a pas encore publié d’ajustements. Après l’échec de Magee, l’équipe WordPress a supprimé la version gratuite du thème du référentiel WordPress officiel un mois plus tard, en octobre 2019.
Selon un rapport de Sucuri, une société de sécurité réseau appartenant à GoDaddy, les attaquants ont commencé à utiliser le bogue au début du mois. Les experts de Sucuri ont déclaré que les pirates utilisaient XSS pour insérer par erreur du code malveillant dans les paramètres du thème OneTone. Puisque le thème vérifie ces paramètres avant le chargement de chaque page, le code est déclenché sur chaque page du site tangible.
Vol de trafic et création de comptes en arrière-plan
Luke Leal de Sucuri a déclaré que le code avait deux fonctions principales. L’une consiste à rediriger certains futurs utilisateurs du site vers un système de distribution du trafic hébergé sur le site. ischeck (). xyz, et la deuxième fonction crée un mécanisme en arrière-plan. Cependant, pour la plupart des utilisateurs qui visitent le site, le mécanisme sous-jacent n’est pas clair. Il ne s’ouvre que lorsque l’administrateur du site visite le site. Le code malveillant peut identifier l’administrateur du site visitant le site comme un utilisateur régulier car il nécessite une barre d’outils d’administrateur WordPress en haut de la page, qui n’est disponible que pour les administrateurs enregistrés.
Image: Sucuri
Une fois que l’administrateur au niveau utilisateur l’a détecté, le code malveillant entré dans le XSS effectuera une série d’opérations automatisées silencieuses en utilisant les autorisations d’accès que l’utilisateur administrateur ne connaît pas. Leal a déclaré qu’il y avait deux façons de créer des backlinks – en ajoutant un compte administrateur au tableau de bord WordPress (le nom d’utilisateur est le système), ou en créant un fichier cookie de compte administrateur côté serveur (le nom du fichier cookie est Tho3faeK). L’effet de ces deux arrière-plans est de permettre à un attaquant d’attaquer le site si le code XSS est supprimé des paramètres OneTone, ou si la vulnérabilité XSS OneTone a été corrigée.
Hélas, il semble impossible de régler. Bien qu’elle ait été notifiée l’année dernière, la société n’a pas répondu à la demande de commentaires de Sucuri il y a deux semaines, ni n’a répondu à un e-mail similaire envoyé par ZDNet la semaine dernière. Les attaques sur le site Web OneTone se poursuivent. Il y a deux semaines, Sucuri a signalé que plus de 20 000 sites WordPress utilisaient le thème OneTone. Aujourd’hui, alors que les propriétaires de sites ont commencé à être attaqués par des attaques continues de pirates informatiques, les propriétaires de sites ont commencé à se tourner vers d’autres sujets, et ce nombre est tombé à moins de 16 000.
Articles similaires:
Les pirates ciblent les sites WordPress en exécutant le thème OneTone
