La faiblesse qui est exploitée dans la campagne en cours est une erreur de script intersite (XSS) sur le thème OneTone WordPress créé par le développeur Magee WP qui n’a pas été mis à jour depuis 2018.
La faiblesse de XSS, qui permet à un attaquant d’injecter du code malveillant dans les paramètres de thème, a été découverte pour la première fois par NinTechNet Jérôme Bruandet revient en septembre de l’année dernière. Bruandet a informé Magee WP ainsi que l’équipe WordPress de la faille à l’époque, bien que le développeur n’ait pas libéré un morceau de terrain sur la question malgré l’avertissement.
Cela a incité l’équipe WordPress à supprimer le classement de la version gratuite du thème du référentiel WordPress officiel en octobre de l’année dernière. Cependant, au moment de la rédaction de ce document, seuls 16000 utilisateurs de WordPress ont toujours le thème sur leurs pages.
La faiblesse de OneTone
Selon un nouveau rapport de la société de sécurité en ligne Sucuri, les pirates ont commencé à exploiter activement les failles de OneTone au début du mois.
Le chercheur de logiciels malveillants de l’entreprise, Luke Leak, a expliqué que les pirates utilisent l’erreur XSS pour insérer du code malveillant dans les paramètres du thème OneTone. Alors que le thème vérifie ces paramètres avant de charger des pages, un code malveillant est exécuté sur chaque page d’un site tangible.
Le code lui-même remplit deux fonctions car il redirige certains des utilisateurs d’un site vulnérable vers un système de distribution de trafic attendu sur ischeck.xyz tandis qu’une deuxième fonction permet la création de backstage. Le code malveillant a même la capacité de reconnaître les administrateurs du site, tout en nécessitant la présence de la barre d’outils de l’administrateur WordPress en haut d’une page.
Une fois qu’un utilisateur avec des privilèges de niveau administrateur est détecté, le code ajoute ensuite un compte administrateur au tableau de bord WordPress d’un site (sous le système de nom d’utilisateur) ou crée un fichier cookie du niveau de compte administrateur du côté serveur du serveur. appelé Tho3faeK. Ces deux arrière-plans permettent à un attaquant d’accéder au site, même si son code XSS malveillant est supprimé des paramètres OneTone ou que la vulnérabilité finit par être corrigée.
Cependant, il semble qu’un extrait de code pour corriger la vulnérabilité de OneTone ne se produira jamais car Magee WP n’a pas mis à jour le thème depuis 2018. Par conséquent, les utilisateurs de WordPress qui continuent d’exécuter le thème doivent le désactiver pour éviter d’être victimes de ce dernier hack de campagne.
Via ZDNet
Articles similaires:
Le problème critique du plugin WordPress permet aux pirates de prendre le contrôle de 1M de sites
