Une campagne d’attaque à grande échelle a ciblé plus de 900 000 sites Web WordPress à travers des vulnérabilités dans les plugins et les thèmes, a révélé la société de sécurité WordPress Defiant cette semaine.

Les attaques ont été découvertes le 28 avril, mais ont montré un pic massif le 3 mai, lorsque plus d’un demi-million de sites Web ont été touchés. Probablement le travail d’un seul acteur de la menace, la campagne vise à injecter les sites Web cibles avec du code JavaScript malveillant conçu pour rediriger les visiteurs vers des sites malveillants.

Responsable d’un petit nombre d’attaques par le passé, l’acteur de la menace a accéléré l’opération, avec plus de 20 millions d’attaques enregistrées le 3 mai. Les chercheurs ont découvert que, au cours du dernier mois, plus de 24 000 adresses IP distinctes ont été utilisées pour attaquer plus de 900 000 sites.

« En raison du volume et de la variété des attaques et des sites que nous avons ciblés, il est possible que votre site soit exposé à ces attaques, et l’acteur malveillant se concentrera probablement sur d’autres vulnérabilités à l’avenir », explique Defiant.

Les vulnérabilités ciblées ne sont pas nouvelles et ont également été exploitées lors d’attaques précédentes. Il s’agit notamment des vulnérabilités Cross-Site Scripting (XSS) dans le plugin Easy2Map (supprimé du référentiel WordPress en août 2019), Blog Designer (corrigé en 2019) et le thème Newspaper (corrigé en 2016), et les options mettent à jour les bogues dans WP GDPR Compliance (corrigé fin 2018) et Total des dons (supprimé début 2019).

«Bien qu’il ne soit pas évident de comprendre pourquoi ces vulnérabilités ont été ciblées, il s’agit d’une campagne à grande échelle qui pourrait facilement pivoter vers d’autres cibles», explique Defiant.

Le code JavaScript que les attaquants tentent d’insérer dans les sites Web ciblés se trouve à l’adresse compter[.]trackstatisticsss[.]com / stm et vérifie également si la victime dispose de cookies de connexion WordPress. Les attaquants espèrent que le script sera exécuté dans le navigateur d’un administrateur.

Les administrateurs qui ne sont pas connectés et qui ne sont pas sur la page de connexion sont redirigés vers un site de malvertising. Sinon, le …