Pourquoi les scanners de logiciels malveillants WordPress sont sans valeur
Publié: 2023-07-18De nouvelles recherches de Snicco, WeWatchYourWebsite, GridPane soutenu par Automattic et PatchStack révèlent que les scanners de logiciels malveillants WordPress qui fonctionnent comme des plugins dans un environnement compromis sont fondamentalement défectueux. Les scanners de logiciels malveillants sont au mieux des outils de nettoyage pour les sites déjà compromis. Ils ne constituent pas une ligne de défense solide, et ils sont activement vaincus par des logiciels malveillants à l'état sauvage en ce moment . Confiez la détection des logiciels malveillants à un hébergeur de qualité. Concentrez vos politiques de sécurité sur le renforcement de l'authentification de connexion, la gestion des utilisateurs, la délégation appropriée des privilèges et la gestion vigilante des versions.
So 2000-and-Late : les scanners de logiciels malveillants ont perdu leur utilité
Les plugins de détection de logiciels malveillants pour WordPress remontent à environ 2011, lorsque les attaques par injection SQL étaient courantes et efficaces. Toute personne travaillant avec WordPress à l'époque se souviendra d'une bibliothèque d'édition d'images largement utilisée appelée TimThumb. Il a été soumis à des exploits zero-day avec des résultats horribles pour des millions de sites.
C'était le contexte d'urgence dont les plugins de sécurité WordPress sont issus - en réaction. Certains plugins de sécurité ressemblent encore aujourd'hui à Norton Security et McAfee Anti-Virus. C'étaient des applications de sécurité populaires pour Windows il y a 20 à 30 ans. Mais comme l'a dit John McAfee après avoir quitté l'entreprise qu'il a créée, son scanner antivirus avait été transformé en "bloatware". Selon lui, c'était "le pire logiciel au monde".
Des conclusions similaires pourraient être tirées aujourd'hui sur les scanners de logiciels malveillants WordPress sur la base des récentes découvertes de plusieurs chercheurs en sécurité WordPress.
Une illusion de sécurité : les scanners de logiciels malveillants WordPress mis à l'épreuve
Dans la première partie d'une série intitulée "Malware Madness : pourquoi tout ce que vous savez sur votre WordPress Malware Scanner est faux", le chercheur en sécurité WordPress Calvin Alkan (fondateur de la société de sécurité Snicco) partage une partie de son travail. Alkan a travaillé avec Patrick Gallagher (PDG et co-fondateur de GridPane) et Thomas Raef (propriétaire, WeWatchYourWebsite.com) pour voir si les scanners de logiciels malveillants pouvaient être vaincus. Sans surprise, il s'avère qu'ils peuvent être vaincus - très facilement. Patchstack a fourni une confirmation indépendante des résultats d'Alkan.
Scanners locaux : l'appel vient de l'intérieur de la maison
Lors de leurs tests, Alkan et ses collaborateurs ont d'abord examiné les scanners locaux. Wordfence, WPMU Defender, la version gratuite de All-In-One Security (AIOS) et NinjaScanner font tout leur travail sur le même serveur que le site WordPress sur lequel ils sont installés. Cela signifie que les scanners de logiciels malveillants utilisent le même processus PHP que WordPress et les logiciels malveillants qui l'infectent. Rien n'empêche le logiciel malveillant d'interagir activement avec le scanner. Le logiciel malveillant pourrait désactiver tous les plugins de sécurité qu'il détecte, se mettre sur liste blanche (rapporté en 2018) ou manipuler les scanners afin qu'ils ne détectent pas l'intrusion.
Ensuite, Alkan et ses partenaires ont produit des preuves de concept fonctionnelles pour vaincre les scanners de logiciels malveillants. (Ils ont également proposé de partager leurs kits d'exploit en privé avec des chercheurs et des fournisseurs de sécurité.) Selon le PDG de Patchstack, Oliver Sild, les kits d'exploit se composent de seulement quelques lignes de code.
Alkan a également découvert que les logiciels malveillants « rendus », « qui se construisent dynamiquement à l'aide de PHP », sont indétectables par les scanners de logiciels malveillants locaux. Enfin, les analyseurs locaux n'ont pas réussi à détecter les logiciels malveillants « en cours de traitement ». Ce type de malware "s'exécute une fois, puis se supprime du système, ne laissant aucune trace de sa présence".
Scanners à distance : vaincus par la falsification de preuves et le nettoyage des scènes de crime
Les scanners qui effectuent leur analyse sur un serveur distant incluent Malcare, Virusdie, All-In-One Security (AIOS) Pro, Sucuri et JetPack Scan. Ces nouvelles méthodes d'analyse à distance présentent plusieurs avantages, notamment une empreinte réduite et un impact sur les performances de votre serveur local. Les analyseurs locaux utilisent les ressources du serveur de votre site pour effectuer leur travail, ce qui a un coût en termes de performances. L'analyse à distance des logiciels malveillants est également protégée contre la manipulation car elle ne se produit pas dans le même processus PHP qu'une infection par un logiciel malveillant actif.
Les scanners distants sont vulnérables aux logiciels malveillants qui manipulent les données renvoyées au serveur distant pour analyse. Alkan a construit une autre preuve de concept qui démontre que les scanners à distance peuvent être vaincus de cette manière - en masquant les "preuves" d'une infection par un logiciel malveillant. Oliver Sild a également confirmé ce résultat :
«La falsification des données peut être réalisée de manière conceptuelle, le plug-in local étant une cible de tromperie. Nous avons reçu une preuve de concept qui le démontre clairement.
Une tactique de malware légèrement différente pourrait consister à "nettoyer la scène du crime" et à ne laisser aucune trace d'infection à scanner. Alkan a suggéré que cela est possible mais n'a pas fourni de preuve de concept.
Il est important de noter que l'analyse de l'intégrité des fichiers qui recherche les modifications non autorisées peut être utile lorsque vous essayez de détecter une infection par un logiciel malveillant. Ce type d'analyse compare les fichiers locaux à un référentiel de code distant protégé pour détecter les modifications non officielles dans le noyau WordPress ou les fichiers de plugin et de thème. Malheureusement, la détection des modifications peut être déjouée si le processus est altéré par des logiciels malveillants.
Pas seulement une hypothèse : les logiciels malveillants désactivent déjà les scanners de sécurité WordPress dans la nature
Après les kits d'exploitation d'Alkan, la plus grande révélation du rapport de Snicco vient de Thomas Raef, le PDG de We Watch Your Website, qui détecte et nettoie les sites WordPress piratés :
« Au cours des 60 derniers jours, 52 848 sites ont été piratés avec WordFence installé avant l'infection. Le logiciel malveillant installé a altéré les fichiers WordFence dans 14 % des cas (7 399) . D'autres services populaires avaient des pourcentages encore plus élevés; MalCare arrive à 22 % et VirusDie à 24 %.
Pour un compte rendu détaillé de l'analyse de We Watch Your Website, consultez le rapport de Thomas Raef, "How We Identified Nearly 150K Hacked WordPress Sites in 60 Days".
C'est fini pour les plugins d'analyse de logiciels malveillants. Il nous dit que l'analyse des logiciels malveillants WordPress est un pur théâtre de sécurité - "la pratique consistant à prendre des mesures de sécurité considérées comme offrant le sentiment d'une sécurité améliorée tout en faisant peu ou rien pour y parvenir".
Nul doute que cela dure aussi depuis longtemps.
Kathy Zant, vétéran de l'industrie de la sécurité et directrice marketing de Kadence, a déclaré à Alkan :
"Pendant environ 18 mois, j'ai nettoyé des sites WordPress pour une entreprise bien connue dans WordPress, supprimant les logiciels malveillants de plus de 2 000 sites pendant mon mandat. La première période que j'ai vue [les logiciels malveillants vaincre les analyses de logiciels malveillants] était entre le milieu et la fin de 2017. [….] Je suis sûr qu'il existe toujours. Et il pourrait très bien y avoir des variantes supplémentaires qui effectuent des actions similaires, voire pires.
C'est la mauvaise nouvelle : les scanners de logiciels malveillants ne sont pas fiables. La bonne nouvelle est qu'ils n'ont jamais offert de véritable défense. Si tout ce que vous avez perdu est une illusion de sécurité, c'est en fait une étape vers une véritable sécurité.
Comment sécuriser votre site WordPress - correctement
Suite à un rapport comme celui de Snicco, la grande question est : « Comment les sites WordPress peuvent-ils atteindre une confiance élevée dans leur sécurité ?
Alkan pense que les méthodes de sécurité doivent être adaptées à chaque pile de serveurs, et l'analyse des logiciels malveillants côté serveur effectuée par l'hôte est le seul type d'analyse valable pour les propriétaires de sites.
"Les plugins de sécurité WordPress devraient UNIQUEMENT faire des choses qui peuvent être mieux faites au niveau de la couche application/PHP", souligne-t-il.
Selon Alkan, les plugins WordPress peuvent aider – des plugins comme iThemes Security. Cela a toujours été la philosophie directrice de notre équipe de développement - un plugin de sécurité est le mieux adapté pour renforcer les sites et réduire la surface d'attaque.
Parmi les autres moyens essentiels pour renforcer les défenses de votre site WordPress, citons une gestion attentive des utilisateurs selon le principe du moindre privilège : ne jamais donner plus de pouvoir à un utilisateur que nécessaire. Et pour les utilisateurs plus privilégiés, ils exigent un niveau de sécurité plus élevé - 2FA, des clés d'accès, des appareils de confiance et des mots de passe forts qui ne sont jamais apparus dans une brèche connue.
Les tendances actuelles en matière d'attaques ciblent intelligemment les petites et moyennes entreprises avec le bourrage de mots de passe, le phishing et le spearphishing. Ces vecteurs d'attaque exploitent l'authentification de connexion faible et l'erreur humaine. Ils utilisent la force brute et des tactiques d'ingénierie sociale intelligentes pour compromettre les comptes d'utilisateurs individuels. Armé d'un compte utilisateur piraté, un attaquant peut faire beaucoup de dégâts. Ils peuvent faire encore plus de mal s'ils voient également un plugin vulnérable à exploiter. Une fois à l'intérieur de votre système, un attaquant peut créer des portes dérobées pour s'y glisser à tout moment.
Un plugin de sécurité qui met l'accent sur un scanner de logiciels malveillants ne les arrêtera pas.
Le meilleur plugin de sécurité WordPress pour sécuriser et protéger WordPress
WordPress alimente actuellement plus de 40 % de tous les sites Web, ce qui en fait une cible importante et familière pour les cybercriminels. Le plugin iThemes Security Pro élimine les conjectures de la sécurité de WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress. C'est comme avoir un expert en sécurité à plein temps dans le personnel qui surveille et protège constamment votre site WordPress pour vous.
Dan Knauss est le généraliste du contenu technique de StellarWP. Il est écrivain, enseignant et pigiste travaillant en open source depuis la fin des années 1990 et avec WordPress depuis 2004.