WordPress compromis par une backdoor

Par Jerome Saiz, le 07 mars 2007 à 10:16:00.

Le serveur de téléchargement de l'outil de gestion de blog WordPress a été piraté et le logiciel infecté par une porte dérobée. Si cette version particulière est utilisée, le pirate pourra alors accéder à distance au serveur où elle est installée. L'auteur de WordPress a nettoyé le code et encourage vivement ses utilisateurs à passer à la nouvelle version.

C'est le cauchemar qu'espèrent éviter tous les distributeurs de logiciel : le piratage d'un serveur de téléchargement et l'installation d'une porte dérobée dans leur produit. Et pour Matt Mullenweg, le créateur de la populaire plate-forme de blog WordPress, c'est devenu réalité il y une dizaine de jours.

A la fin du mois de février dernier un pirate est parvenu à s'introduire dans l'un des serveurs du site www.wordpress.org et à modifier le contenu de la zone de téléchargement du logiciel. La version 2.1.1 de WordPress aurait ainsi été modifiée afin d'accueillir une porte dérobée. Si cette version est installée, elle offrira alors au pirate un accès au serveur sur lequel elle tourne, probablement après l'avoir prévenu de la disponibilité d'une nouvelle victime à contrôler.
Une fois compromis, de tels serveurs sont généralement utilisés par les pirates afin d'héberger des scripts malicieux (le "corps" d'un ver, par exemple, qui doit être téléchargé à chaque nouvelle infection), à cracher du spam jour et nuit ou encore à lancer des attaques par force brute contre l'accès SSH de nombreux autres serveurs.
Car si l'on cite souvent Windows comme responsable de la pollution actuelle d'Internet, notamment via la plaie des bots, il ne faut pas oublier pour autant la masse de scripts PHP mal programmés ou de serveurs sous Linux mal administrés (quand ils le sont) et laissés aux mains des pirates. Ils finissent le plus souvent en usine à spam à l'insu de leur propriétaire.

Une nouvelle version disponible

Pour WordPress, dont le code est ouvert, l'entourloupette a rapidement été repérée. Tout juste quatre jours après le forfait des utilisateurs donnaient l'alerte sur la liste de diffusion dédiée à la sécurité du produit. Et dès le 2 mars l'auteur publiait une alerte sur le site officiel, et il mettait une version nettoyée à disposition. Pour les utilisateurs d'une version 2.1.1 de WordPress, surtout si elle a été téléchargée entre la fin du mois de février et le début du mois de mars, la mise à jour vers la version 2.1.2 est cruciale.

Ce n'est bien évidemment pas la première fois qu'un tel scénario se produit, avec des fortunes diverses. Les serveurs du projet Linux Debian ont ainsi déjà étés piratés, et peu avant le noyau même de Linux avait failli être compromis de la sorte. Plus grave, la base de données Interbase de Borland a été compromise par une porte dérobée qui offrait un accès administrateur immédiat non seulement à la base, mais dans certains cas aussi au serveur qui l'hébergeait. Cette porte dérobée est restée active pendant six ans, jusqu'à ce que Borland décide d'ouvrir le code d'Interbase. La backdoor n'était pas particulièrement dissimulée, mais le code source étant fermé personne n'a pu donner l'alerte pendant près de six ans. Utilisateurs de WordPress, vous pouvez vous féliciter du choix d'une solution Libre. Et maintenant, allez mettre à jour votre installation !

Plus d'information

• Télécharger la dernière version de WordPress (en anglais)