WordPress : une faille « zero-day » dans le plug-in TimThumb continue ses ravages
Selon Websense, une faille « zero-day » dans l’extension TimThumb (pour retailler des photos) associée à WordPress a continué de sévir courant août malgré la diffusion d’un premier correctif.
Chacun de leur côté, Websense (solutions de filtrage Internet) et Sucuri (monitoring et sécurité de sites Web) ont relevé au cours du week-end une nouvelle vague d’attaques de type « zero-day » visant le CMS WordPress et le plug-in TimThumb (permettant de changer la taille des photos).
Initialement, la faille avait été révélée début août par Mark Maunder, qui dirige la start-up Feedjit basée à Seattle (analyse de trafic sur les sites Web).
Une mise à jour de l’extension a immédiatement été publiée car tout site Web exploitant WordPress (outil open source de gestion de contenus) étaient susceptibles d’être infecté via la faille « zero-day ».
Comment se passe la propagation ? Premièrement, le nom de domaine infecté hxxp://superpuperdomain.com/ a été injecté dans le code des blogs corrompus sous WordPress.
Ce code JavaScript malveillant était destiné à être diffusé par voie de messages publicitaires destinés aux utilisateurs finaux à travers des systèmes de redirection vers les moteurs de recherche.
Mais Websense a repéré en fin de semaine dernière une nouvelle vague offensive à partir d’une adaptation du code infecté (via hxxp://superpuperdomain2.com/).
Dans une contribution blog en date du 15 août, Carl Leonard, Directeur des recherches pour le laboratoire de sécurité du spécialiste américain des solutions de filtrage sur Internet, synthétise l’assaut en trois phases : « La première phase consistait à afficher des publicités aux utilisateurs finaux, en guise de test pour voir si la vulnérabilité fonctionnait. Une fois parvenue à cette étape, les pirates ont lancé des attaques sur les sites-blogs vulnérables, quitte à exploiter des variantes de code et contourner les outils anti-virus. »
L’expert en sécurité IT poursuit : « Dans la deuxième phase, le but était de compromettre le plus de sites possibles avant publication d’un correctif. »
Phase 3 : « Avec des dizaines de milliers de sites infectés [20 000 a priori, ndlr], les pirates changent les fichiers de configuration pour ouvrir une porte dérobée [backdoor]. Même quand la rustine est mise en place, les auteurs du malware sont toujours capables d’injecter n’importe quel code dans le futur. »
De son côté, Sucuri précisait dans une contribution blog en date du 11 août qu’il ne s’agit pas d’une vulnérabilité liée à WordPress mais on la trouve dans des thèmes WordPress incluant TimThumb.
« Vous devez être sûr que vous disposez d’un thème réactualisé récupéré à partir d’une source légitime », conseille Sucuri.