Vulnérabilités critiques dans les plugins WordPress exploitées à l'état sauvage

Des bogues dans WordPress ont peut-être permis aux pirates d'obtenir des droits d'administrateur et de nettoyer les données des sites Web vulnérables

Un bug dans WordPress permet aux attaquants distants sur les sitesDe nouveaux comptes avec des droits administratifs peuvent être créés et utilisés pour une prise de contrôle complète du site Web. Les pirates informatiques ont activement exploité des bogues critiques dans les plugins WordPress qui leur ont permis de contrôler complètement le contenu des sites Web et même de les effacer. Une vulnérabilité zero-day a été découverte dans le plugin WordPress ThemeREX Addons.[1] La faille, lorsqu'elle est exploitée, permet aux attaquants de créer des comptes avec des privilèges administratifs, afin que les sites Web puissent être pris en charge.

Le plugin particulier est installé sur au moins 44 000 sites Web, selon la société de sécurité Wordfence, de sorte que ces sites sont tous vulnérables.[2] Le plugin propose 466 thèmes et modèles WordPress commerciaux à vendre, afin que les clients puissent configurer et gérer les thèmes plus facilement.

Le plugin fonctionne en configurant un point de terminaison WordPress REST-API, mais sans vérifier si les commandes envoyées à cette API REST proviennent du propriétaire du site ou d'un utilisateur autorisé ou non. C'est ainsi que le code à distance peut être exécuté par tout visiteur non authentifié.[3]

Un autre bogue impliquant les thèmes WordPress a été trouvé dans les plugins de ThemeGrill qui vend des thèmes de sites Web à plus de 200 000 sites. La faille permettait aux attaquants d'envoyer la charge utile particulière à ces sites vulnérables et de déclencher les fonctions recherchées après avoir obtenu les droits d'administrateur.[4]

Le schéma des thèmes WordPress trojanisés qui ont conduit à des serveurs compromis

Selon les analyses, de telles failles ont permis de compromettre au moins 20 000 serveurs Web dans le monde entier. Cela a peut-être conduit à des installations de logiciels malveillants, à une exposition à des publicités malveillantes. Plus d'un cinquième de ces serveurs appartiennent à des entreprises de taille moyenne qui ont moins de financement à faire des sites Web plus personnalisés, contrairement aux grandes entreprises, de tels incidents de sécurité sont donc également plus importants dans endommager.

L'utilisation d'un CMS aussi largement utilisé a peut-être commencé en 2017. Les pirates peuvent atteindre leurs objectifs et compromettre sans le savoir divers sites Web en raison du manque de sensibilisation des victimes à la sécurité. En plus des plugins vulnérables mentionnés et d'autres failles, 30 sites Web proposant des thèmes et des plugins WordPress ont été découverts.[5]

Des packages de chevaux de Troie ont été installés et les utilisateurs ont propagé des fichiers malveillants sans même savoir qu'un tel comportement permet aux attaquants d'obtenir un contrôle total sur le serveur Web. À partir de là, il est facile d'ajouter des comptes d'administrateur, de récupérer des serveurs Web et même d'accéder aux ressources de l'entreprise.

De plus, les logiciels malveillants inclus dans de telles attaques peuvent :

  • communiquer avec les serveurs C&C appartenant à des pirates ;
  • télécharger des fichiers depuis le serveur ;
  • ajouter des cookies pour collecter diverses données sur les visiteurs ;
  • collecter des informations sur la machine affectée.

En outre, les criminels impliqués dans de tels stratagèmes peuvent utiliser des mots-clés, des publicités malveillantes et d'autres techniques :

Dans de nombreux cas, les publicités étaient totalement inoffensives et orientaient l'utilisateur final vers un service ou un site Web légitime. Dans d'autres cas, cependant, nous avons observé des publicités contextuelles incitant l'utilisateur à télécharger des programmes potentiellement indésirables.

WordPress est le CMS le plus populaire au monde

Les rapports récents montrent que l'utilisation d'un CMS n'est plus facultative et en augmentation. Surtout pour les entreprises et les applications sans écran qui contrôlent le contenu séparé de la couche d'affichage initiale ou de l'expérience utilisateur frontale.[6] La recherche montre que par rapport à d'autres systèmes de gestion de contenu, l'utilisation de WordPress a augmenté.

De plus, les entreprises bénéficient clairement de l'utilisation de plusieurs CMS à la fois, cette pratique devient donc de plus en plus populaire. C'est extrêmement pratique lorsqu'il s'agit de problèmes de vulnérabilités et de bogues ou de différents problèmes concernant les services, la confidentialité et la sécurité de votre site Web et de vos données sensibles.

Étapes possibles

Les chercheurs conseillent aux organisations et aux administrateurs de :

  • éviter d'utiliser des logiciels piratés ;
  • activer et mettre à jour Windows Defender ou différentes solutions AV ;
  • évitez de réutiliser les mots de passe entre les comptes ;
  • mettre à jour le système d'exploitation régulièrement
  • s'appuyer sur des correctifs disponibles pour certaines de ces vulnérabilités et des mises à jour pour des plugins particuliers.