La société de sécurité Sucuri a indiqué en début de semaine qu'une vaste campagne de malware a pris pour cible et a compromis plus de 100 000 sites WordPress. En l'occurrence, il ne s'agit pas de sites ou blogs hébergés sur WordPress.com mais qui s'appuient sur le système de gestion de contenu éponyme.
Cette vague de compromissions a déclenché la réaction de Google qui en conséquence a mis sur liste noire plus de 11 000 domaines. Les internautes ont ainsi droit à une alerte en cas de tentative d'accès à l'un des domaines concernés.
L'attaque a été baptisée SoakSoak en raison d'une redirection vers soaksoak.ru pour tenter de télécharger du contenu JavaScript malveillant. Sucuri a déterminé que le vecteur d'attaque est un plugin pour WordPress dénommé RevSlider - ou Slider Revolution ; un plugin premium - pour lequel une même vulnérabilité avait déjà été exploitée en septembre dernier.
Mais stupeur, ladite vulnérabilité est en fait connue depuis février 2014. Le problème est que sa correction a été faite de manière bien trop discrète. Une démonstration par l'exemple qu'il ne faut pas toujours compter sur une notification pour savoir qu'un patch est disponible.
Sucuri propose un outil en ligne afin de vérifier si un site est infecté ou pas par un malware connu. Le cas échéant (pour SoakSoak), les fichiers swfobject.js et template-loader.php sont à remplacer. La version 4.1.4 et les versions antérieures du plugin RevSlider sont vulnérables. La plus à jour est étiquetée 4.6.
