Posté le mai 13, 2023 à 5:00
DES HACKERS CIBLENT LA VULNÉRABILITÉ D’UN PLUGIN WORDPRESS APRÈS LA PUBLICATION D’UN EXPLOIT POC
Des acteurs de la menace exploitent activement une vulnérabilité qui a été corrigée récemment. La faille se trouvait dans le plugin WordPress Advanced Custom Fields. La faille a été exploitée environ 24 heures après la révélation d’un exploit de preuve de concept (PoC). Les acteurs de la menace semblent avoir rapidement exploité la faille avant qu’un correctif ne soit publié.
Microsoft cible une faille dans un plugin WordPress
La vulnérabilité en question est répertoriée sous le nom de CVE-2023-30777. La faille de haute gravité a été étiquetée comme une vulnérabilité XSS (cross-site scripting) réfléchie qui a permis à des hackers non autorisés de voler des informations sensibles car ils ont également escaladé les privilèges qui existent au sein des sites Web WordPress.
La vulnérabilité en question a été détectée par Patchstack, une société spécialisée dans la sécurité des sites web. La faille a été détectée le 2 mai 2023 et a été signalée en même temps qu’un exploit de preuve de concept réalisé le 5 mai. L’exploitation a eu lieu après que le fournisseur du plugin a publié une mise à jour de sécurité en publiant une nouvelle version 6.1.6.
Le groupe d’intelligence de sécurité d’Akamai (SIG) a publié un rapport indiquant qu’il avait détecté la vulnérabilité exploitée par les hackers. L’entreprise de cybersécurité a déclaré que l’exploitation semblait avoir commencé le 6 mai 2023. Les chercheurs ont détecté un nombre considérable de comportements d’analyse et d’exploitation par le biais d’un échantillon de code fourni dans le rapport Patchstack.
Le rapport d’Akamai indique aussi que le SIG d’Akamai a analysé les données d’attaque XSS et a identifié que les exploits ont commencé dans les 24 heures qui ont suivi la publication de l’exploit PoC. Le rapport précise en outre que l’une des particularités de la requête est que le hacker a copié et utilisé un exemple de code de Patchstack qui était sécurisé à partir de l’article.
« L’activité s’est étendue à tous les secteurs verticaux sans distinction. Cette ampleur de l’activité et l’absence totale d’effort pour créer un nouveau code d’exploitation nous indiquent que l’acteur de la menace n’est pas sophistiqué. L’acteur recherchait des sites vulnérables et tentait d’exploiter une cible facile », indique le rapport d’Akamai.
La vulnérabilité a une portée considérable, ce qui accroît la possibilité que l’auteur de la menace ait causé des ravages considérables. Plus de 1,4 million de sites web utilisent le plugin WordPress compromis, et ils n’ont pas encore été mis à niveau vers la dernière version. Les statistiques relatives à la plateforme wordpress.org montrent que les acteurs de la menace disposent d’une surface d’attaque massive qu’ils peuvent explorer pour causer des dégâts.
La vulnérabilité XSS
La vulnérabilité XSS nécessite qu’un utilisateur soit connecté au site pour que l’acteur de la menace puisse y accéder. L’utilisateur ayant accès au plugin exécutera un code malveillant dans son navigateur. Ce code permettra à l’acteur de la menace d’obtenir un accès privilégié à cette plateforme.
Les scans malveillants effectués par les acteurs de la menace montrent également que le facteur d’atténuation ne dissuade pas les activités malveillantes. Les hackers à l’origine de l’exploit semblent convaincus qu’ils peuvent éviter d’être détectés par les systèmes de sécurité mis en place grâce à des astuces et à l’ingénierie sociale.
Cet exploit fonctionne sur les configurations par défaut des versions de plugins concernées. L’exploitation augmente les chances de succès des acteurs de la menace sans les obliger à faire plus d’efforts de leur côté pour poursuivre leurs activités.
Les administrateurs du site WordPress ont déclaré que ceux qui utilisent les plugins WordPress vulnérables doivent appliquer immédiatement le correctif disponible afin de s’assurer que leurs appareils ne sont pas compromis. La sortie d’un correctif pour la faille garantira que l’utilisateur sera protégé contre l’activité en cours qui implique le balayage et l’exploitation.
La recommandation émise par l’entreprise est d’installer les mises à jour pour les plugins gratuits et pro « Advanced Custom Fields » vers la version 5.12.6 qui a été rétroportée. La version 6.1.6 est aussi concernée.
Ce n’est pas le premier plugin WordPress exploité par des acteurs malveillants. Des hackers ont activement exploité une vulnérabilité de haute sévérité dans le plugin WordPress Elementor Pro, leader sur le marché, pour installer des portes dérobées sur des sites web.
Elementor Pro est un plugin de construction de pages WordPress. Le plugin permet aux utilisateurs de créer facilement des sites web d’apparence professionnelle sans comprendre les techniques avancées utilisées par les hackers, comme comprendre comment coder, mettre en avant le glisser-déposer, construire un thème, une collection de modèles, supporter un widget personnalisé, et avoir un constructeur WooCommerce pour les boutiques en ligne.
La faille en question a été détectée par un chercheur de NinTechNet, Jerome Bruandet. Le chercheur a détecté la faille le 18 mars 2023 et a partagé des détails techniques sur la façon dont la vulnérabilité peut être exploitée lorsqu’elle a été installée avec WooCommerce. Le problème affecte la version 3.11.6 et les versions précédentes. Il permet aux clients et aux membres du site de modifier les paramètres du site et de fermer la prise de contrôle du site.
