– Date : 30 Janvier 2012

– Plateforme : Toutes

– Programme : WordPress

– Gravité : Elevée

– Exploitation : Distante

– Dommage : Contournement de sécurité

- Description :
Depuis quelques jours, des pirates s’attaquent massivement à des sites web reposant sur le moteur de blog Wordpress. L’exploitation d’une faille de sécurité leur permettrait d’uploader sur les sites vulnérables un fichier malveillant. Celui-ci permettrait au pirate de rediriger un visiteur naviguant sur la page en question vers un autre site malveillant, hébergeant le pack d’exploitation Phoenix Exploit Kit.

Le stockage de cette page malveillante serait totalement transparent pour les visiteurs du site victime. En effet, la redirection vers le site hébergeant le pack d’exploitation ne serait effective que lorsqu’un internaute navigue sur la page uploadée, mais pas sur le reste du site compromis.

Mais alors, pourquoi les pirates auraient-ils monté cette attaque ? La réponse peut paraitre étrange, mais l’intérêt de cette attaque pour les pirates est majeur. En effet, cette attaque leur permet de contourner les mécanismes de réputation des noms de domaines utilisés pour protéger les internautes. En effet, les sites malveillants sont souvent bloqués de façon automatique, car l’absence de contenu dans le site parait suspicieuse.

Lorsqu’un internaute navigue sur la page malveillante, le navigateur est automatiquement redirigé vers la page suivante hxxp ://horoshovsebudet.ru:8801/html/yveveqduclirb1.php qui est chargée au travers d’une iFrame. Le site en question chercherait alors à exploiter certaines failles de sécurité présente au sein de Java, de la Libtiff intégrée au sein des lecteurs PDF, voire même au sein d’Internet Explorer 6.

La faille exploitée pour uploader la page malveillante ne semble pas être connue pour le moment, mais seuls les sites reposants sur la version 3.2.1 de Wordpress semblent être concernés par cette attaque. Le CERT-XMCO recommande donc l’installation de la dernière version de ce logiciel, disponible sur le site de l’éditeur.

- Vulnérable :
* WordPress 3.2.1
* D’autres versions pourraient aussi être vulnérables

- Référence :

http://labs.m86security.com/2012/01/massive-compromise-of-wordpress-based-sites-but-%E2%80%98everything-will-be-fine%E2%80%99/

http://threatpost.com/en_us/blogs/massive-compromise-wordpress-sites-leads-phoenix-exploit-kit-013012

http://community.websense.com/blogs/securitylabs/archive/2012/01/30/3_2D00_2_2D00_1-wordpress-vulnerability-leads-to-possible-new-exploit-kit.aspx

- Correction :

Le CERT-XMCO recommande l’installation de la version 3.3.1 de WordPress disponible sur le site de l’éditeur à l’adresse suivante :
http://wordpress.org/download/

- Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0145