Posté le mars 31, 2023 à 4:22
DES MILLIONS DE SITES SONT MENACÉS SUITE À L’EXPLOITATION DE LA VULNÉRABILITÉ DE DU PLUGIN ELEMENTOR PRO DE WORDPRESS PAR DES HACKERS
Des criminels en ligne ont une fois de plus trouvé une faille qui pourrait mettre en péril des millions de sites web. Cette fois, des acteurs inconnus ont commencé à exploiter une faille de sécurité dans le plugin Elementor Pro de création de sites web, couramment utilisé avec WordPress. La faille a été récemment corrigée, mais après l’avoir étudiée, les experts en sécurité l’ont décrite comme un cas de contrôle d’accès défaillant.
Jusqu’à présent, il a été révélé que la faille concernait les versions 3.11.6 et antérieures. Entre-temps, la version 3.11.7 l’a corrigée. Il s’agit de la version publiée il y a un peu plus d’une semaine, le 22 mars, et il est fortement recommandé que tout le monde mette à jour son plugin vers cette version la plus récente.
Des millions de sites web sont en danger
La société basée à Tel Aviv a indiqué dans ses notes de mise à jour qu’elle avait amélioré l’application de la sécurité du code dans les composants de WooCommerce. Le problème est que le plugin premium est censé être utilisé par plus de 12 millions de sites web, ce qui signifie que les hackers ont eu beaucoup de cibles lentes à choisir.
Dans les cas où ils ont réussi à exploiter la faille de haute sévérité, les hackers ont été en mesure de compléter une prise de contrôle des sites Web ciblés qui avaient WooCommerce activé sur leurs plateformes.
Patchstack a lancé une alerte à ce sujet le 30 mars, indiquant que la situation permettait à des utilisateurs malveillants d’activer la page d’enregistrement, en supposant qu’elle ait été désactivée au départ. Ils peuvent ensuite définir le rôle de l’utilisateur par défaut comme étant celui d’un administrateur. Cela leur permettait de créer un compte disposant instantanément de tous les privilèges d’administrateur.
Une fois le compte d’administrateur entre les mains de criminels en ligne, ceux-ci essaieront probablement de rediriger le site web vers un autre domaine, probablement malveillant, ou ils introduiront des logiciels malveillants sur le site web lui-même, par le biais de plugins malveillants, de portes dérobées et d’autres méthodes similaires. Ces deux approches leur permettraient d’exploiter davantage les sites web, ainsi que leurs visiteurs peu méfiants.
Comment la faille a-t-elle été découverte ?
Selon un rapport publié par NinTechNet, la faille a été découverte par un chercheur en sécurité appelé Jérôme Bruandet. Bruandet a déclaré avoir découvert la faille le 18 mars, et l’a immédiatement signalée à l’équipe chargée du plugin.
Patchstack a également noté que la faille a également été identifiée par les hackers, qui ont commencé à en abuser dans la nature. Jusqu’à présent, les chercheurs en sécurité ont réussi à identifier plusieurs adresses IP qui tentaient de télécharger des fichiers PHP et ZIP arbitraires.
Heureusement, la faille a déjà été corrigée, comme indiqué précédemment. Toutefois, pour que les sites web soient réellement protégés contre toute tentative d’intrusion, les utilisateurs du plugin Elementor Pro devront mettre à jour leurs plugins vers la nouvelle version. À l’heure actuelle, il n’y a que deux versions disponibles qui ont résolu le problème. La première est la version 3.11.7 mentionnée précédemment, tandis que la seule autre alternative sûre est la version 3.12.0.
Il s’agit en fait de la dernière version du plugin, qui a été publiée après le correctif, et qui contient également le correctif. Une fois de plus, il est recommandé aux utilisateurs de mettre à jour leurs plugins dès que possible, car ne pas le faire ne fait que donner plus de temps aux hackers pour identifier leur site web, y ouvrir une brèche et l’infecter avec des logiciels malveillants ou l’utiliser pour diriger les visiteurs vers des sites web malveillants.
Les problèmes de sécurité des plugins WordPress
Il est intéressant de noter que ce n’est pas la première fois qu’Elementor présente une vulnérabilité critique. Plus d’un an auparavant, le plugin Essential Addons for Elementor présentait lui aussi une faille critique qui mettait les utilisateurs en danger. Cette fois-ci, la faille pouvait entraîner l’exécution d’un code arbitraire sur les sites web utilisant le plugin.
Il convient également de noter que WordPress a lui-même publié une mise à jour automatique pour remédier à un autre bug critique, qui a aussi été détecté dans le plugin de paiement WooCommerce. Celui-ci permettait à des hackers non authentifiés d’obtenir par ailleurs des rôles d’administrateur, avec des conséquences assez similaires pour ceux qui y parvenaient.
