Vidéo: CMS (Wordpress, Joomla, Drupal) Brute Force Attack - Siber Güvenlik (Novembre 2024)
Des milliers de sites WordPress et Joomla sont actuellement attaqués par un grand réseau de zombies qui forcent des mots de passe brutaux. Les administrateurs doivent s'assurer qu'ils ont des mots de passe forts et des noms d'utilisateur uniques pour leurs installations WordPress et Joomla.
Ces derniers jours, les auteurs d'actes criminels ont considérablement intensifié leurs tentatives de connexion basées sur un dictionnaire contre des blogs WordPress et des sites Joomla, selon des rapports de CloudFlare, HostGator et plusieurs autres sociétés. L'attaque recherche les noms de compte communs, tels que "admin", sur le site et essaie systématiquement les mots de passe courants afin de pénétrer dans le compte.
Les administrateurs ne veulent pas que quelqu'un se connecte pour accéder à leurs sites, car cet attaquant pourrait altérer le site ou incorporer du code malveillant afin d'infecter d'autres personnes avec des logiciels malveillants. Cependant, la nature organisée de l’attaque et son opération à grande échelle implique des objectifs encore plus sinistres. Il semble probable que les attaquants tentent de s’implanter sur le serveur pour pouvoir trouver le moyen de prendre le contrôle de l’ensemble de la machine. Les serveurs Web sont généralement plus puissants et ont des canaux de bande passante plus importants que les ordinateurs domestiques, ce qui en fait des cibles attrayantes.
"L'attaquant utilise un botnet d'ordinateurs personnels relativement faible pour créer un botnet de serveurs plus volumineux en prévision d'une future attaque", a déclaré Matthew Prince, PDG de CloudFlare, sur le blog de la société.
Le réseau de robots Brobot, qui, selon les chercheurs, est à l’origine des attaques massives de déni de service contre les institutions financières américaines depuis l’automne dernier, est constitué de serveurs Web compromis. "Ces machines plus grandes peuvent causer beaucoup plus de dégâts lors d'attaques DDoS, car les serveurs disposent de connexions réseau étendues et sont capables de générer un trafic important", a déclaré Prince.
Comptes de forçage brutal
Les attaquants utilisent des tactiques de force brute pour percer les comptes d'utilisateurs des sites WordPress et Joomla. Les cinq principaux noms d'utilisateur ciblés sont "admin", "test", "administrateur", "admin" et "racine". Dans une attaque par force brute, les agresseurs essaient systématiquement toutes les combinaisons possibles jusqu'à ce qu'ils se connectent avec succès au compte. Il est plus facile de deviner et de comprendre des mots de passe simples tels que des séquences de chiffres et des mots de dictionnaire, et un botnet automatise l'ensemble du processus. Les cinq mots de passe les plus utilisés lors de cette attaque sont "admin", "123456", "111111", "666666" et "12345678."
Si vous utilisez un nom d'utilisateur ou un mot de passe commun, remplacez-le immédiatement par un nom moins évident.
"Faites cela et vous aurez une longueur d'avance sur 99% des sites et ne rencontrez probablement jamais de problème", a écrit Matt Mullenweg, créateur de WordPress, sur son blog.
Augmentation du volume d'attaque
Les statistiques de Sucuri indiquent que les attaques sont en augmentation. La société a bloqué 678 519 tentatives de connexion en décembre, suivie de 1 252 308 tentatives de connexion bloquées en janvier, de 1 034 323 tentatives de connexion en février et de 950 389 tentatives en mars, Daniel Cid, CTO de Sucuri, sur le blog de la société. Cependant, dans les 10 premiers jours d’avril, Sucuri a déjà bloqué 774 104 tentatives de connexion, a déclaré Cid. C'est un saut significatif, passant de 30 000 à 40 000 attaques par jour à environ 77 000 par jour en moyenne, et il y a eu des jours ce mois-ci où les attaques ont dépassé 100 000 par jour, a déclaré Sucuri.
"Dans ces cas, par le simple fait d'avoir un nom d'utilisateur non administrateur / administrateur / racine, vous êtes automatiquement éliminé", a déclaré Cid, avant d'ajouter: "Ce qui est plutôt sympa, en fait."
Astuces d'un grand botnet
Le volume d'attaque est un indice de la taille du botnet. HostGator a estimé qu'au moins 90 000 ordinateurs sont impliqués dans cette attaque, et CloudFlare pense que "plus de dizaines de milliers d'adresses IP uniques" sont utilisées.
Un réseau de zombies est constitué d'ordinateurs compromis recevant des instructions d'un ou de plusieurs serveurs de commande et de contrôle centralisés, et exécutant ces commandes. Pour la plupart, ces ordinateurs ont été infectés par un type de malware et l'utilisateur n'est même pas au courant du fait que les attaquants contrôlent les ordinateurs.
Informations d'identification fortes, logiciel mis à jour
Les attaques contre les systèmes de gestion de contenu populaires ne sont pas nouvelles, mais le volume et l’augmentation soudaine sont préoccupants. À ce stade, les administrateurs ne peuvent rien faire de plus que d'utiliser une combinaison forte de nom d'utilisateur et de mot de passe et de s'assurer que le CMS et les plug-ins associés sont à jour.
"Si vous utilisez toujours 'admin' comme nom d'utilisateur sur votre blog, changez-le, utilisez un mot de passe fort, si vous êtes sur WP.com, activez l'authentification à deux facteurs, et bien sûr, assurez-vous d'être à jour. date sur la dernière version de WordPress ", a déclaré Mullenweg. WordPress 3.0, publié il y a trois ans, permet aux utilisateurs de créer un nom d'utilisateur personnalisé. Il n'y a donc aucune raison d'avoir encore un mot de passe "admin" ou "administrateur".
