WordPress : plus de 100 000 sites touchés par une vulnérabilité, plus de 10 000 bloqués par Google

Par:
fredericmazue

mer, 17/12/2014 - 17:39

Dimanche 14 décembre, la société de sécurité Securi a publié un billet indiquant qu'un malware sévit sur WordPress en ce moment. Securi a ensuite publié un second billet apportant des informations complémentaires.

Selon Sucuri, 100 000 sites sous Wordpress seraient impactés par ce malware baptisé SoakSoak, et 10 000 sites auraient été bloqués par Google qui y détecte la présence de malwares.

L'attaque exploite une faille qui permet de modifier un fichier d'affichage du thème, wp-includes/template-loader.php pour y injecter ce code.

<?php
function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}

add_action("wp_enqueue_scripts", 'FuncQueueObject'); 

Ce qui fait que wp-includes/js/swfobject.js est chargé sur chaque  page visitée pour à son tour charger un malware en JavaScript depuis le domaine SoakSoack.ru, notamment ce fichier. hxxp://soaksoak.ru/xteas/code

Nettoyer template-loader.php et wp-includes/js/swfobject.js  sur un site infecté ne suffit pas pour enlever le malware, qui aura installé des backdoors un peu partout.

La vulnérabilité se situe dans le plugin Slider Revolution. Dans un commentaire sur le deuxième billet de Securi, le développeur du plugin explique qu'il s'agit d'une vulnérabilité ancienne, qui est fixée depuis la version 4.2. Ce ne sont même que les versions 4.1.4 et antérieures qui sont concernées.

Cependant, vu le nombre de site infectés, beaucoup de mises à jour n'ont pas été faites...