Rester à jour avec le paysage de la sécurité en constante évolution est essentiel pour maintenir la sécurité des serveurs Web et tenir les menaces potentielles à distance.
Il existe plusieurs menaces clés pour les serveurs Web qu’il est important de connaître afin de prévenir et d’atténuer ces risques. Attaques DoS et DDoS, injections SQL, logiciels non corrigés et scripts intersites, pour n’en nommer que quelques-uns.
Aujourd’hui, une découverte récente des chercheurs sur les menaces d’Avast a mis en lumière un risque immédiat et important pour les développeurs Web du monde entier, nommé Parrot TDS.
Qu’est-ce qu’un TDS ?
Les systèmes de direction du trafic (TDS) ne sont pas nouveaux. Ils sont l’ennemi des développeurs web depuis plusieurs années. Utilisé comme pages de destination qui dirigent les utilisateurs sans méfiance vers un contenu malveillant, TDS sert de passerelle pour diffuser diverses campagnes malveillantes via des sites infectés.
De nombreux TDS ont atteint un haut niveau de sophistication et permettent souvent aux attaquants de définir des paramètres qui examinent la géolocalisation des utilisateurs, le type de navigateur, les cookies et le site Web d’où ils viennent.
Ceci est utilisé pour cibler les victimes qui remplissent certaines conditions et ne leur afficher que des pages de phishing. Ces paramètres sont généralement définis de manière à ce que chaque utilisateur ne voie qu’une seule fois une page de phishing pour éviter que les serveurs ne soient surchargés.
Perroquet TDS
En février, les chercheurs sur les menaces d’Avast ont découvert un essaim d’attaques utilisant un nouveau système de direction du trafic (TDS) pour prendre le contrôle des appareils de la victime. Le nouveau TDS, nommé Parrot TDS, est apparu ces derniers mois et a déjà atteint des centaines de milliers d’utilisateurs dans le monde, infectant divers serveurs Web hébergeant plus de 16 500 sites Web.
L’un des principaux facteurs qui distinguent Parrot TDS des autres TDS est sa diffusion et le nombre de victimes potentielles qu’il a. Du 1er mars 2022 au 29 mars 2022, Avast a protégé plus de 600 000 utilisateurs uniques du monde entier visitant des sites infectés par Parrot TDS, dont plus de 11 000 utilisateurs au Royaume-Uni Au cours de cette période, Avast a protégé le plus d’utilisateurs au Brésil (73 000 ) et Inde (55 000); et plus de 31 000 utilisateurs uniques aux États-Unis.
Dans ce cas particulier, l’apparence des sites infectés est altérée par une campagne appelée FakeUpdate, qui utilise JavaScript pour afficher de fausses notifications permettant aux utilisateurs de mettre à jour leur navigateur, proposant un fichier de mise à jour à télécharger. Le fichier que nous avons observé être livré aux victimes est un outil d’accès à distance appelé NetSupport Manager qui est utilisé à mauvais escient par les attaquants pour leur donner un accès complet aux ordinateurs des victimes.
Parrot TDS crée également une porte dérobée sur les serveurs Web infectés sous la forme d’un script PHP pour servir d’option de sauvegarde pour l’attaquant.
FakeUpdate
Comme Parrot TDS, FakeUpdate effectue également une analyse préliminaire pour collecter des informations sur le visiteur du site avant d’afficher le message de phishing. L’analyse vérifie quel produit antivirus se trouve sur l’appareil pour déterminer s’il faut ou non afficher le message de phishing.
L’outil distribué est configuré de telle manière que l’utilisateur a très peu de chances de le remarquer et si le fichier affiché par FakeUpdate est exécuté par la victime, les attaquants obtiennent un accès complet à leur ordinateur.
Les chercheurs ont observé d’autres sites de phishing hébergés sur les sites infectés par Parrot TDS, mais ne peuvent pas les lier de manière concluante à Parrot TDS.
Sites CMS
Nous pensons que les attaquants exploitent les serveurs Web de systèmes de gestion de contenu mal sécurisés, tels que les sites WordPress et Joomla, en se connectant à des comptes avec des informations d’identification faibles pour obtenir un accès administrateur aux serveurs.
WordPress a une longue histoire d’être une cible très riche et souhaitable pour les exploits. En effet, le logiciel est basé sur l’exécution d’une série de scripts PHP, qui est un lieu populaire pour les pirates. Le grand nombre de composants, y compris les plug-ins, les thèmes et autres scripts, rend difficile la prévention des infections ou des compromis potentiels.
En plus de cela, de nombreux sites Web WordPress exécutent des versions plus anciennes qui pourraient être à l’origine de plusieurs versions majeures, ce qui entraîne des vulnérabilités de sécurité non corrigées. De plus, certains administrateurs sont inexpérimentés en matière de sécurité opérationnelle informatique ou simplement surchargés d’autres responsabilités et ne peuvent pas consacrer suffisamment de temps à la mise en œuvre des mesures de sécurité nécessaires pour assurer la sécurité d’un site WordPress.
Comment les développeurs peuvent protéger leurs serveurs
Néanmoins, les développeurs Web peuvent prendre certaines mesures pour protéger leurs serveurs contre ces attaques, en commençant par simplement analyser tous les fichiers sur le serveur Web avec un programme antivirus. Les autres étapes que les développeurs peuvent suivre sont les suivantes :
– Remplacez tous les fichiers JavaScript et PHP sur le serveur Web par des fichiers originaux
– Utiliser la dernière version du CMS
– Utilisez les dernières versions des plugins installés
– Vérifiez les tâches en cours d’exécution automatique sur le serveur Web (par exemple, les tâches cron)
– Vérifiez et configurez des informations d’identification sécurisées et utilisez des informations d’identification uniques pour chaque service
– Vérifiez les comptes administrateur sur le serveur, en vous assurant que chacun d’eux appartient à des développeurs et dispose de mots de passe forts
– Le cas échéant, configurez 2FA pour tous les comptes d’administrateur du serveur Web
– Utiliser les plugins de sécurité disponibles (WordPress, Joomla)
Comment les visiteurs du site peuvent éviter d’être victimes d’hameçonnage
Pour les visiteurs du site, il est plus important que jamais d’être vigilant en ligne. Si un site visité semble différent de ce à quoi ils s’attendent, les visiteurs doivent quitter le site et ne pas télécharger de fichiers ni saisir d’informations.
De même, les visiteurs ne doivent télécharger les mises à jour que directement à partir des paramètres du navigateur et jamais via d’autres canaux.