AVAST invite les propriétaires de sites Internet utilisant ce logiciel à vérifier leurs plugins

PRAGUE, République Tchèque, le 2 novembre 2011 - Des chercheurs des laboratoires AVAST ont remarqué une augmentation des malwares au sein des sites WordPress - une application open-source fréquemment utilisée par les blogueurs et les auto-éditeurs - en raison d'une vulnérabilité dans le plugin image et la gestion des mots de passe.

Au début du mois d‘octobre, plusieurs utilisateurs sont entrés en contact avec les chercheurs d’AVAST via le système de la Communauté IQ parce qu’ils avaient été infectés par le site du Journal de Poitou-Charentes www.thejournal.fr. L‘exploitant du site a quant à lui contacté directement AVAST afin de déterminer la raison du blocage des visiteurs par les programmes antivirus avast!, alors que le site avait été soi-disant vérifié par un scanner externe.

L'équipe de recherche d‘AVAST a détecté des infections similaires sur d'autres sites WordPress. « Le Journal de Poitou-Charentes représente juste une partie d'une attaque beaucoup plus grande », explique Jan Sirmer, responsable des laboratoires AVAST. « Ces sites compromis font partie d'un réseau qui redirige les utilisateurs vulnérables sur des sites infectés.»

Jan Sirmer a travaillé avec le propriétaire du site pour recueillir plus d'informations sur la façon dont il avait pu être compromis et savoir où les usagers vulnérables avaient été redirigés. Il a ainsi pu déterminer que la source de cette infection était un fichier PHP (UPD.PHP) téléchargé à travers une faille de sécurité dans Timthumb, une image resizer utilisée par les développeurs pour créer des thèmes pour des sites WordPress. Il a ainsi estimé qu'un hacker avait pu compromettre les informations de connexion utilisées par les administrateurs de WordPress pour les serveurs d'hébergement FTP avant de télécharger et d'exécuter les fichiers PHP.

L'infection est le travail de cybercriminels utilisant le Black Hole Toolkit, un ensemble d'outils de logiciels malveillants disponibles sur le marché noir. « Thejournal.fr et ses lecteurs n'ont certainement pas été les seules cibles » , déclare Jan Sirmer. « Nous avons enregistré 151 000 attaques à l'un des endroits où sont redirigés les utilisateurs. Nous avons également bloqué les redirections de 3 500 sites uniques, du 28 au 31 août dernier – soit les premiers jours où cette infection a fait surface. Au cours du mois de septembre, nous avons bloqué 2 515 sites et je m'attends à des résultats similaires en octobre. »

Jan Sirmer a découvert et retiré plusieurs infections JavaScript ainsi que des Trojans sur le site thejournal.fr au cours de son enquête. Dans ce cas, le problème est passé inaperçu parce que le site était hébergé et géré par un tiers. « Le propriétaire du site a découvert l'infection seulement parce que les visiteurs du site utilisant avast! ont été bloqués par leur logiciel antivirus. Donc même si vous externalisez les services informatiques, il est souvent préférable de visiter son propre blog ou site avec un antivirus qui possède un scan de virus actif pour s'assurer qu'il n'est pas infecté ou bloqué. Il faut également changer les mots de passe FTP et ne pas les enregistrer sur le PC car ce malware est souvent capable de décompresser les mots de passe des clients FTP. »

« WordPress est vulnérable an raison de sa popularité et du grand nombre de versions disponibles » explique Jan Sirmer. Toutefois, celui-ci souligne que ce n‘est pas un problème spécifique à WordPress lui-même, mais le résultat de l’utilisation d'un plugin obsolète et d’un gestionnaire des mots de passe faible par les administrateurs du site. Cet exemple prouve que les serveurs FTP peuvent conduire à des problèmes. « Utiliser une connexion et des mots de passe plus forts, seuls ou avec une authentification à deux facteurs, sont les options que l'administrateur système doit utiliser quand il travaille avec des tiers.»