Des chercheurs en cybersécurité ont découvert une nouvelle porte dérobée furtive dissimulée dans le répertoire « mu-plugins » des sites WordPress pour accorder aux acteurs de la menace un accès persistant et leur permettre d’effectuer des actions arbitraires.

Les plugins indispensables (aussi appelés mu-plugins) sont des plugins spéciaux qui sont automatiquement activés sur tous les sites WordPress lors de l’installation. Ils se trouvent par défaut dans le répertoire « wp-content/mu-plugins ».

Ce qui en fait une option attrayante pour les attaquants, c’est que les mu-plugins n’apparaissent pas dans la liste par défaut des plugins sur la page Plugins de wp-admin et ne peuvent pas être désactivés sauf en supprimant le fichier du plugin du répertoire must-use.

Par conséquent, un logiciel malveillant qui exploite cette technique lui permet de fonctionner silencieusement, sans déclencher aucun signal d’alarme.

Dans l’infection détectée par la société de sécurité Web Sucuri, le script PHP dans le répertoire mu-plugins (« wp-index.php ») sert de chargeur pour récupérer une charge utile de l’étape suivante et l’enregistrer dans la base de données WordPress dans la table wp_options sous _hdra_core.

La charge utile distante est récupérée à partir d’une URL obscurcie à l’aide de ROT13 , un chiffrement de substitution simple qui remplace une lettre par la 13e lettre qui la suit (c’est-à-dire que A devient N, B devient O, C devient P, et ainsi de suite).

« Le contenu récupéré est ensuite temporairement écrit sur le disque et exécuté », a expliqué Puja Srivastava, chercheuse en sécurité . « Cette porte dérobée offre à l’attaquant un accès permanent au site et la possibilité d’exécuter n’importe quel code PHP à distance. »

Plus précisément, il injecte un gestionnaire de fichiers caché dans le répertoire du thème, « pricing-table-3.php », permettant aux pirates de parcourir, télécharger ou supprimer des fichiers. Il crée également un utilisateur administrateur nommé « officialwp », puis télécharge une extension malveillante (« wp-bot-protect.php ») et l’active.

Outre la réactivation de l’infection en cas de suppression, le logiciel malveillant permet de remplacer les mots de passe des noms d’administrateur courants, tels que « admin », « root » et « wpsupport », par un mot de passe par défaut défini par l’attaquant. Cette fonctionnalité s’étend également à son propre utilisateur « officialwp ».

Ce faisant, les acteurs malveillants peuvent bénéficier d’un accès permanent aux sites et commettre des actions malveillantes, tout en bloquant l’accès aux autres administrateurs. Ces actions peuvent aller du vol de données à l’injection de code permettant de diffuser des logiciels malveillants aux visiteurs du site ou de les rediriger vers d’autres sites frauduleux.

« Les attaquants obtiennent un accès administrateur complet et une porte dérobée persistante, leur permettant d’effectuer toutes sortes d’opérations sur le site, de l’installation de nouveaux logiciels malveillants à sa dégradation », a déclaré Srivastava. « Les fonctionnalités d’exécution de commandes à distance et d’injection de contenu permettent aux attaquants de modifier le comportement du logiciel malveillant. »

Pour atténuer ces menaces, il est essentiel que les propriétaires de sites mettent à jour WordPress, les thèmes et les plugins périodiquement, sécurisent les comptes à l’aide d’une authentification à deux facteurs et auditent régulièrement toutes les sections du site, y compris les fichiers de thème et de plugin.