Des chercheurs en sécurité ont découvert des milliers de plugins et thèmes pour des CMS populaires compromis par un backdoor qui pourraient être utilisés par des attaquants afin de compromettre les serveurs Web à une grande échelle.
Fox-IT, la firme de sécurité basée aux Pays-Bas a publié un livre blanc révélant un nouveau backdoor nommé “CryptoPHP“. Les chercheurs en sécurité ont découvert des plugins et des thèmes malveillants pour WordPress, Joomla et Drupal, le top 3 des CMS les plus utilisés sur le Web actuellement.
Afin de piéger les administrateurs de sites, les cybercriminels font usage d’une simple astuce d’ingénierie sociale : ils attirent ces derniers à télécharger des versions piratées gratuites de plugins et de thèmes commerciaux (premium) pour leur CMS préféré. Une fois téléchargé, le thème malveillant ou le plugin inclura un backdoor pré- installés sur le serveur de la victime. Qui n’a jamais entendu parlé des fameux “Nulled Scripts” ?
“En publiant gratuitement des thèmes et des plugins piratés, l’auteur de CryptoPHP vise l’installation d’un backdoor sur leur serveur“, a déclaré Fox-IT dans son analyse sur l’attaque.
Une fois installé sur un serveur Web, la porte dérobée peut être contrôlée à distance par des cybercriminels en utilisant différentes options telles qu’un serveur de commande et de contrôle central (C&C), la communication par mail ou encore le contrôle manuel.
CryptoPHP en détails
La porte dérobée CryptoPHP comprend :
- Une intégration parfaite et universelle dans les systèmes de gestion de contenu populaires comme WordPress, Drupal et Joomla
- Un chiffrement à clé publique pour la communication entre le serveur compromis et celui de contrôle
- Une vaste infrastructure en termes de domaines et d’IP
- Des mécanismes de sauvegarde contre les takedowns de domaines sous la forme de communication électronique
- Le contrôle manuel et sécurisé de la porte dérobée
- La mise à jour à distance de la liste des serveurs de contrôle
- Une aptitude à se mettre à jour automatiquement
Les cybercriminels utilisent CryptoPHP sur les sites Web compromis et les serveurs Web pour une multitude d’actions illégales comme par exemple l’optimisation pour les moteurs de recherche (SEO), qui est également connu sous l’appellation Black Hat SEO. Les sites Web compromis font des liens à leur insu vers des sites Internet contrôlés par les attaquants boostant ainsi leur popularité aux yeux des moteurs de recherche.
La société de sécurité a découvert pas moins de 16 variantes du backdoor CryptoPHP sur des milliers de plugins et de thèmes dédiés aux principaux CMS à partir du 12 novembre 2014. La toute première version du backdoor a été aperçus sur le 25 septembre 2013. Le nombre exact de sites touchés par la porte dérobée est indéterminé à ce jour, mais la société estime que quelques milliers de sites Web ont déjà été compromis.
Conseil de sécurité aux webmasters
Avant toute installation (et upload) de thème ou plugin CMS sur votre serveur, pensez à faire un tour dans le code source afin de vérifier tout code suspect (encodage, chiffrement, etc). Des plugins officiels permettent des fois de vérifier la sécurité, tel que Theme Authenticity Checker (TAC) pour WordPress ou encore WordFence.
Parfois, le malware est discret est difficile à repéré, par exemple via des inclusions malveillantes de PHP sous de fausses extensions : include(‘assets/images/social.png’);
Il est bien entendu fortement déconseillé de s’approvisionner en thèmes ou plugins piratés sur des plateformes Warez illégales… les malwares y abondent ! Idem pour les thèmes gratuits se trouvant sur des plateformes non officielles, préférez toujours le repository officiel, à moins que vous n’aillez de solides connaissances en développement et une capacité à analyser le code source.