Posté le mai 27, 2023 à 4:05
DES HACKERS EXPLOITENT UNE FAILLE XSS DANS UN PLUGIN DE CONSENTEMENT AUX COOKIES DE WORDPRESS
Des hackers ont lancé des attaques continues contre des sites WordPress. Ces attaques visent une vulnérabilité XSS (cross-site scripting) stockée et non authentifiée dans un plugin WordPress de consentement aux cookies connu sous le nom de Beautiful Cookie Consent Banner (Bannière de consentement aux cookies). Le plugin compte plus de 40 000 installations actives.
Des hackers utilisent des exploits du plugin de consentement aux cookies pour mener des attaques
Les acteurs malveillants à l’origine de ces attaques ont ciblé une vulnérabilité XSS. Lorsque les hackers lancent une attaque en utilisant une vulnérabilité XSS, ils installent des scripts JavaScript malveillants dans les sites web vulnérables. Ces scripts malveillants sont injectés dans les sites web vulnérables, où ils sont ensuite exécutés dans les navigateurs web des visiteurs du site.
L’exploitation de ces vulnérabilités peut causer des dommages importants aux appareils ciblés. Parmi les conséquences de ces attaques, on peut citer l’accès non autorisé d’acteurs malveillants à des informations sensibles. Ils pourraient également détourner des sessions en ligne et déclencher des infections de logiciels malveillants par le biais de redirections vers des sites malveillants.
L’un des principaux effets d’une exploitation d’une vulnérabilité XSS est qu’elle peut compromettre entièrement le système de l’appareil ciblé. Les attaques en question ont été repérées par une société de sécurité WordPress connue sous le nom de Defiant.
Le rapport de Defiant indique que la vulnérabilité permet à un acteur malveillant de générer de faux comptes d’administrateur sur des sites web WordPress qui utilisent des versions de plugins non corrigées, y compris 2,10.1, et toutes les versions mises à jour.
La faille de sécurité exploitée dans le cadre de cette campagne malveillante a été corrigée en janvier après la publication d’une version actualisée 2.10.2. Ram Gall, analyste des menaces, a déclaré que les archives de l’entreprise montraient que la faille avait été activement exploitée depuis le 5 février 2023. Cependant, la dernière attaque est la plus importante jamais enregistrée contre cette faille.
« D’après nos archives, la vulnérabilité a été activement exploitée depuis le 5 février 2023, mais il s’agit de l’attaque la plus importante que nous ayons jamais vue », a déclaré M. Gall. « Nous avons bloqué près de 3 millions d’attaques contre plus de 1,5 million de sites à partir de près de 14 000 adresses IP depuis le 23 mai 2023, et les attaques se poursuivent.
La campagne d’attaque en cours est de grande envergure. Selon M. Gall, l’acteur de la menace à l’origine de cette campagne s’appuie sur un exploit mal configuré qui ne déploie généralement pas de charge utile unique, même lorsqu’il cible un site WordPress utilisant une version de plugin vulnérable aux exploits.
Les propriétaires et administrateurs de sites web sont invités à faire la mise à jour vers la dernière version
Les propriétaires de sites web qui utilisent le plugin Beautiful Cookie Consent Banner ont été invités à le mettre à jour. Les administrateurs ont déclaré qu’en cas d’attaque réussie, la configuration du plugin stockée dans l’option nsc_bar_bannersettings_json pourrait être corrompue.
Le développeur a déjà publié une mise à jour pour résoudre le problème. Les versions corrigées du plugin ont été mises à jour de manière à ce que le problème puisse être résolu au cas où un site web particulier aurait été ciblé par les exploits en cours.
La vague d’attaques actuellement observée sur les sites WordPress pourrait ne pas être en mesure d’installer une charge utile malveillante sur les sites web. L’acteur de la menace à l’origine de cette campagne malveillante pourrait remédier au problème à tout moment, et cela pourrait causer des dommages potentiels aux sites web qui sont encore exposés.
Les sites WordPress sont depuis longtemps vulnérables aux attaques de piratage. La semaine dernière, des acteurs de la menace ont commencé à s’intéresser à certains sites WordPress qui utilisent les versions vulnérables des plugins WordPress Advanced Custom Field et Essential Addons for Elementor, qui sont susceptibles d’être exploités.
Dans le cas des versions du plugin Essential Addons for Elementor sur plusieurs sites web WordPress dans une variété de scans internet. Les hackers en question exploitent une faille dans la réinitialisation du mot de passe du compte qui a été révélée plus tôt.
La vulnérabilité de gravité critique a été repérée sous le nom de CVE-2023-32243, et elle affecte les versions 5.4.0 à 5.7.1 d’Essential Addons for Elementor, ce qui a permis à des hackers de réinitialiser les mots de passe des comptes administrateurs et de prendre le contrôle des sites web.
Les hackers ont aussi exploité une faille corrigée dans le plugin WordPress Advanced Custom Fields environ 24 heures après qu’un exploit de preuve de concept ait été révélé publiquement. La vulnérabilité est répertoriée sous le nom de CVE-2023-30777 et permet aux hackers de voler des informations sensibles afin d’augmenter leurs privilèges sur les sites WordPress concernés.
Cette vulnérabilité a affecté plus d’un million de sites web et a été détectée au début de l’année. L’éditeur a corrigé la faille en publiant une mise à jour de sécurité. Les campagnes de piratage sur les deux sites WordPress ont commencé après la publication d’exploits de preuve de concept (PoC) permettant aux attaquants d’obtenir un accès non autorisé aux sites web après avoir réinitialisé les mots de passe administratifs et avoir un accès privilégié.
