Les pirates exploitent activement une vulnérabilité qui leur permet d’exécuter des commandes et des scripts malveillants sur des sites web utilisant File Manager (gestionnaire de fichiers), un plugin WordPress avec plus de 700 000 installations actives, ont déclaré les chercheurs hier. L’annonce des attaques est arrivée quelques heures après que la faille de sécurité ait été corrigée.
Les attaquants utilisent cet exploit pour télécharger des fichiers contenant des webshells cachés dans une image. De là, ils disposent d’une interface pratique qui leur permet d’exécuter des commandes dans plugins/wp-file-manager/lib/files/, le répertoire où se trouve le plugin de File Manager. Bien que cette restriction empêche les pirates d’exécuter des commandes sur des fichiers en dehors du répertoire, les pirates peuvent être en mesure d’infliger des dommages plus importants en téléchargeant des scripts qui peuvent effectuer des actions sur d’autres parties d’un site vulnérable.
NinTechNet, une entreprise de Bangkok spécialisée dans la sécurité des sites web, a été l’une des premières à signaler les attaques en ligne. Selon sa publication, un pirate informatique exploitait la vulnérabilité pour télécharger un script intitulé hardfork.php et l’utilisait ensuite pour injecter du code dans les scripts WordPress /wp-admin/admin-ajax.php et /wp-includes/user.php.
Remise en état des sites vulnérables à une grande échelle
Dans un courriel, Jérôme Bruandet, PDG de NinTechNet, a écrit : « Il est un peu trop tôt pour en connaître l’impact, car lorsque nous avons pris connaissance de l’attaque, les pirates informatiques essayaient simplement d’ouvrir des sites web par des moyens détournés. Cependant, une chose intéressante que nous avons remarquée est que les attaquants injectaient du code pour protéger par mot de passe l’accès au fichier vulnérable (connector.minimal.php) afin que d’autres groupes de pirates ne puissent pas exploiter la vulnérabilité sur les sites déjà infectés. Toutes les commandes peuvent être exécutées dans le dossier /lib/files (créer des dossiers, supprimer des fichiers, etc.), mais le plus important est qu’ils peuvent également télécharger des scripts PHP dans ce dossier, puis les exécuter et faire ce qu’ils veulent sur le blog ».
« Pour l’instant, ils téléchargent “FilesMan“, un autre gestionnaire de fichiers souvent utilisé par les pirates. Celui-ci est très obscurci. Dans les prochaines heures et les prochains jours, nous verrons exactement ce qu’ils feront, car s’ils ont protégé le fichier vulnérable par un mot de passe pour empêcher d’autres pirates d’exploiter la vulnérabilité, il est probable qu’ils s’attendent à revenir visiter les sites infectés », poursuit-il.
Wordfence, une autre entreprise de sécurité de sites web, a déclaré dans son propre article qu’elle avait bloqué plus de 450 000 tentatives d’exploitation ces derniers jours. Le post indique que les attaquants tentent notamment de pénétrer dans différents fichiers. Dans certains cas, ces fichiers étaient vides, le plus souvent dans le but de rechercher des sites vulnérables et, en cas de succès, d’injecter un fichier malveillant par la suite. Les fichiers téléchargés portaient des noms tels que hardfork.php, hardfind.php et x.php.
« Un tel plugin de gestion de fichiers permettrait à un attaquant de manipuler ou de télécharger les fichiers de son choix directement à partir du tableau de bord de WordPress, ce qui lui permettrait d’augmenter ses privilèges une fois dans la zone d’administration du site », a écrit Chloe Chamberland, chercheur au sein de la société de sécurité Wordfence, dans un article publié mardi. « Par exemple, un attaquant pourrait accéder à la zone d’administration du site en utilisant un mot de passe compromis, puis accéder à ce plugin et télécharger une coquille web pour faire une nouvelle énumération du serveur et éventuellement intensifier son attaque en utilisant un autre exploit », ajoute-t-elle.
52 % de 700 000 équivaut à des dommages éventuels
Le plugin Gestionnaire de fichiers aide les administrateurs à gérer les fichiers sur les sites utilisant le système de gestion de contenu WordPress. Le plugin contient un gestionnaire de fichiers supplémentaire appelé elFinder, une bibliothèque open source qui fournit les fonctionnalités de base du plugin, ainsi qu’une interface utilisateur pour l’utiliser. La vulnérabilité provient de la manière dont le plugin a implémenté elFinder.
« Le cœur du problème a commencé avec le plugin File Manager qui a renommé l’extension du fichier connector.minimal.php.dist de la bibliothèque elFinder en .php afin qu’il puisse être exécuté directement, même si le fichier connector n’était pas utilisé par le gestionnaire de fichiers lui-même. Ces bibliothèques comprennent souvent des fichiers d’exemple qui ne sont pas destinés à être utilisés “tels quels” sans ajouter de contrôles d’accès, et ce fichier n’avait aucune restriction d’accès direct, ce qui signifie que n’importe qui pouvait y accéder. Ce fichier pouvait être utilisé pour lancer une commande elFinder et était relié au fichier elFinderConnector.class.php », a expliqué Chamberland.
Sal Aguilar, un entrepreneur qui met en place et sécurise des sites WordPress, a écrit sur Twitter pour avertir des attaques qu’il voit. « Oh mince !!! La vulnérabilité du gestionnaire de fichiers WP est SÉRIEUSE. Elle se propage rapidement et je vois des centaines de sites être infectés. Des logiciels malveillants sont téléchargés sur /wp-content/plugins/wp-file-manager/lib/files », a-t-il écrit.