Les attaquants abusent de la Transparence des certificats (CT) pour compromettre de nouveaux sites WordPress dans le laps de temps généralement court avant que le système de gestion de contenu (CMS) ne soit configuré et donc sécurisé.

CT est une norme de sécurité Web pour la surveillance et l’audit des certificats TLS (alias SSL), qui sont émis par les autorités de certification (CA) pour valider l’identité des sites Web.

Mis en œuvre pour la première fois par le DigiCert CA en 2013la norme exige que les autorités de certification enregistrent immédiatement tous les certificats nouvellement émis dans des journaux publics dans un souci de transparence et de détection rapide des certificats non fiables ou mal utilisés.

Attaques DDoS

Cependant, il est de plus en plus évident que des pirates malveillants surveillent ces journaux afin de détecter de nouveaux domaines WordPress et de configurer eux-mêmes le CMS après que les administrateurs Web ont téléchargé les fichiers WordPress, mais avant qu’ils ne parviennent à sécuriser le site Web avec un mot de passe.

Plusieurs témoignages ont émergé détaillant les sites piratés en quelques minutes – en quelques secondespair – des certificats TLS demandés.

Les propriétaires de domaine signalent le apparition d’un fichier malveillant (/wp-includes/.query.php) et les sites pressés de se joindre aux attaques DDoS.

Sur un fil connexe sur le forum de support de Let’s Encrypt, une autorité de certification qui émet des certificats gratuits et a lancé son propre journal CT en 2019, un ingénieur de Certbot a déclaré que les attaques « se produisaient depuis quelques années maintenant ».

Techniques de reconnaissance

Josh Aas, directeur exécutif de l’Internet Security Research Group, qui gère Let’s Encrypt, est d’accord avec les spéculations de l’ingénieur sur les techniques de reconnaissance des attaquants.

« Si l’attaquant interroge directement les journaux CT, il verrait les nouvelles entrées de certificat plus rapidement, ce qui lui donnerait une plus grande fenêtre de temps pour lancer l’attaque », a déclaré Aas. La gorgée quotidienne. L’analyse de crt.sh, un domaine de recherche de certificats, « peut également fonctionner, mais la propagation des nouveaux certificats à partir de CT prend plus de temps ».

Il n’est pas question que les attaques reflètent les lacunes du système CT, qui selon Let’s Encrypt a « conduit à de nombreuses améliorations de l’écosystème CA et de la sécurité Web » et « devient rapidement une infrastructure critique ».

Aas a déclaré que toutes les autorités de certification de confiance publique sont tenues de soumettre des certificats aux journaux CT « sans délai après leur émission ».

Un argument pour l’automatisation

Il a suggéré que la responsabilité de la protection des nouveaux sites WordPress incombe en définitive aux propriétaires de domaine et aux hébergeurs.

« Obtenir un certificat de Let’s Encrypt peut faciliter la détection d’une nouvelle installation, mais personne ne devrait mettre des installations WordPress sur l’Internet public tant qu’elles ne sont pas sécurisées. Si un fournisseur d’hébergement ou toute autre entité le fait, veuillez le signaler comme une vulnérabilité dans son processus de déploiement.

Josepha Haden, directrice exécutive du projet WordPress chez Automattic, a déclaré La gorgée quotidienne que les attaques « n’affectent que les installations directes – si un site se trouve sur un hôte recommandé, ou si le processus d’installation est automatisé, il existe généralement un fichier de configuration préconfiguré, de sorte que le processus d’installation est terminé/n’est pas interactif et il y a peu de chance pour cela attaque ».

Dans un récent article de blog sur le sujet, la société de conception Web basée au Colorado, White Fir Design, a suggéré que WordPress pourrait résoudre le problème en donnant au propriétaire du domaine « le contrôle du site Web » dès le départ, « par exemple, en ajoutant un [template] dossier ».

Sur le forum Let’s Encrypt, Christopher Cook, développeur de Let’s Encrypt Windows UI Certify the Web, proposé que WordPress « pourrait randomiser l’URL d’installation et la présenter uniquement à vous dans la console, ou exiger un jeton à usage unique ».

Josepha Haden a reconnu que WordPress avait besoin « d’examiner le problème. L’équipe Core est consciente et discute des meilleurs changements ainsi que du meilleur timing alors que nous avançons avec le reste de nos versions pour le reste de l’année », a-t-elle déclaré.