Des hackers ont compromisd le système de mise à jour du plugin Smart Slider 3 Pro pour les plateformes WordPress et Joomla, diffusant ainsi une version malveillante intégrant plusieurs backdoors.
Selon le développeur, seule la version pro 3.5.1.35 est touchée, et il est conseillé de passer immédiatement à la version 3.5.1.36 ou à une version antérieure, 3.5.1.34.
Cette mise à jour malveillante établit des backdoors à divers emplacements, crée un utilisateur caché avec des droits d’administrateur et collecte des données sensibles.
Le plugin Smart Slider 3 est déployé sur plus de 900 000 sites, permettant la création de diaporamas réactifs via un éditeur en direct, offrant une large gamme de mises en page et de designs.
Le fournisseur indique que l’attaque a eu lieu le 7 avril, et il est possible que certains sites aient déjà installé cette version compromise.
Une analyse menée par PatchStack, une entreprise spécialisée dans la sécurisation de WordPress et des logiciels open-source, révèle que le malware est un kit complet et multi-couches, intégré dans le fichier principal du plugin tout en conservant les fonctionnalités classiques de Smart Slider.
Les chercheurs ont observé que le kit malveillant permet à un attaquant distant d’exécuter des commandes sans authentification via des en-têtes HTTP manipulés. Il inclut également une seconde backdoor authentifiée utilisant à la fois PHP eval, l’exécution de commandes système, et le vol automatisé de données d’identification.
Ce malware assure sa persistance par plusieurs moyens, dont la création d’un compte administrateur caché et le stockage des identifiants dans la base de données.
Source : PatchStack
Par ailleurs, une directory ‘mu-plugins’ est créée, contenant un plugin obligatoire avec un nom semblant correspondre à un composant de mise en cache légitime.
Les must-use plugins ont la particularité d’être chargés automatiquement, de ne pas pouvoir être désactivés depuis le tableau de bord de WordPress et d’être invisibles dans la section des plugins.
Selon PatchStack, le kit malveillant plante également une backdoor dans le fichier functions.php du thème actif, assurant sa persistance tant que le thème est en service.
Une autre méthode de persistance inclut l’injection dans le répertoire wp-includes d’un fichier PHP dont le nom imite une classe essentielle de WordPress.
Les chercheurs de PatchStack expliquent que, contrairement aux autres couches de persistance, cette backdoor ne dépend pas de la base de données WordPress mais lit sa clé d’authentification dans un fichier .cache_key situé dans le même répertoire, ce qui la rend fonctionnelle même si la base de données est modifiée.
Le fournisseur a également émis un avertissement similaire pour les installations Joomla, précisant que le code malveillant dans la version 3.5.1.35 peut également créer un compte admin caché (généralement avec le préfixe wpsvc_), implanter des backdoors supplémentaires dans les répertoires /cache et /media, ainsi que dérober des informations et des identifiants liés au site.
Actions recommandées
La mise à jour malveillante a été diffusée le 7 avril, mais l’équipe de Smart Slider conseille de restaurer les sauvegardes à la date du 5 avril pour garantir que les différences de fuseaux horaires soient prises en compte.
« Une violation de sécurité a affecté le système de mise à jour responsable de la distribution de Smart Slider 3 Pro pour WordPress », indique le communiqué du fournisseur.
En l’absence de sauvegarde, il est recommandé de supprimer le plugin compromis et d’installer une version propre (3.5.1.36).
Les administrateurs qui découvrent la version compromise du plugin doivent supposer une compromission complète du site et entreprendre les actions suivantes :
- Supprimer les utilisateurs, fichiers et entrées de base de données malveillants
- Réinstaller les fichiers essentiels de WordPress, les plugins et les thèmes à partir de sources fiables
- Changer tous les identifiants (WP, DB, FTP/SSH, hébergement, email)
- Regénérer les clés de sécurité WordPress (salts)
- Scanner pour détecter les éventuels malwares restants et examiner les journaux
Le fournisseur propose également un guide de nettoyage manuel en plusieurs étapes pour WordPress et Joomla, qui commence par mettre le site en mode maintenance et effectuer une sauvegarde.
Les administrateurs doivent ensuite nettoyer le site des utilisateurs administrateurs non autorisés, supprimer tous les composants malveillants et installer tous les fichiers essentiels, plugins et thèmes. Le réinitialisation de tous les mots de passe et un scan pour détecter d’éventuels malwares supplémentaires sont également conseillés.
Les recommandations finales incluent le durcissement du site en activant la protection par authentification à deux facteurs (2FA), en veillant à mettre à jour les composants vers les dernières versions, en restreignant l’accès administrateur et en utilisant des mots de passe uniques et robustes.