Une vulnérabilité dans un plugin pour Wordpress a permis l’infection de plus de 100 000 sites utilisant cette plateforme. Il existe une méthode pour s’en débarrasser, mais la société Sucuri, qui a fait la découverte, craint maintenant qu’il soit difficile de prévenir tous les utilisateurs concernés.
Plus de 100 000 sites infectés à cause d'une faille
Dans un premier billet publié dimanche, la société Sucuri, spécialisée dans l’aide aux entreprises pour sécuriser leurs serveurs, a décrit un problème touchant plus de 100 000 sites Wordpress. Il était alors suspecté qu’une faille dans le plugin Slider Revolution avait causé l’infection de ces sites par un malware, conduisant Google notamment à bloquer plus de 11 000 noms de domaines durant le week-end.
Le malware, baptisé SoakSoak, transforme le site Wordpress en plateforme d’attaque. Il est téléchargé via un code qui se glisse grâce à la faille, depuis « hxxp://soaksoak.ru/xteas/code ». Une fois en place il attend simplement les prochains visiteurs en quête d’autres failles à exploiter. Le problème principal selon Sucuri était alors de prévenir l’ensemble des utilisateurs et de nettoyer les sites infectés.
Dans un second billet publié hier soir, la société a confirmé qu’il s’agissait bien d’un plugin Slider Revolution. Plus précisément, une vulnérabilité découverte en septembre et dont Wordpress avait été averti. Problème : il s’agit d’un plugin premium qui n’est pas forcément mis à jour régulièrement. Sucuri ajoute que le plus souvent, ceux qui l’ont ne le savent pas, car le plugin est intégré dans certains thèmes.
Nettoyer et mettre en place un pare-feu
Sucuri propose un scanner permettant de détecter gratuitement si un site a été infecté. La société indique à ce sujet : « Nous voyons de nombreuses recommandations en ligne pour remplacer simplement les fichiers swfobject.js et template-loader.php afin de supprimer l’infection. C’est effectivement le cas, mais cela ne règle pas les portes dérobées laissées en place et les points d’entrée initiaux. Le site sera réinfecté rapidement. Si vous êtes affecté par ce problème, attendez-vous à être criblé de portes dérobées et d’infections, vous n’aurez pas juste à nettoyer, vous devrez arrêtez toutes les attaques malveillantes. Vous pouvez arrêter ces attaques via l’utilisation d’un pare-feu, le nôtre ou celui d’un autre […] ».
En outre, comme on peut le voir dans les commentaires du second billet, des détenteurs de sites Wordpress rencontrent des difficultés désormais pour faire lever le blocage des noms de domaine par Google. Si tout a été changé et nettoyé, il faudra en effet plusieurs heures avant que Google ne les revérifie.
Le développeur principal de Slider Revolution réagit
Mais il aura fallu attendre cette nuit pour que le développeur du plugin, ThemePunch, réagisse dans les commentaires du second billet de Sucuri, « par souci de transparence ». Il indique en fait que la faille date de février 2014 et qu’elle a bien été corrigée dans une mouture 4.2 sortie peu après. De fait, la version 4.1.1 du plugin et toutes celles sorties avant sont sensibles à l’attaque par le malware.
Pourquoi une telle quantité de sites contaminés dans ce cas ? Comme l’indique le développeur, le problème ne vient pas des clients directs du plugin, qui disposent d’un mécanisme automatique de mise à jour. Il confirme ainsi que le souci réside dans les nombreux thèmes payants proposés depuis longtemps et intégrant de vieilles versions de Slider Revolution, comme indiqué précédemment.
Le plugin est vendu sur la plateforme Envato, qui avait publié le 5 septembre un billet pour avertir de la situation. Il était alors bien question de la faille et de l’avertissement donné par Sucuri. À ce moment, 338 thèmes sur la plateforme avaient été détectés comme comportant une vieille version du plugin et beaucoup avaient été mis à jour avant d’être réintégrés dans le catalogue. Mais le billet d’Envato renvoie finalement à ce qui reste le problème principal : les dizaines de milliers d’utilisateurs dont les sites sont contaminés ne seront peut-être pas mis au courant du souci de sécurité.
