Posté le décembre 15, 2019 à 8:07
LES CHERCHEURS DISENT QUE LES PLUGINS WORDPRESS RENDENT LES SITES AFFECTÉS VULNÉRABLES AUX ATTAQUES
Un rapport récent de chercheurs en sécurité, Brainstorm Force, a révélé que la vulnérabilité de certains plugins WordPress pouvait entraîner des cyberattaques sur les sites affectés. Ultimate Addons for Elementor et Ultimate Addons for Beaver sont les deux plugins qui sont actuellement vulnérables, ont déclaré les chercheurs.
Les chercheurs en sécurité ont averti les utilisateurs de WordPress que les hackers utilisent des plugins vulnérables pour accéder à la section administrative de leurs sites Web. Les chercheurs avertissent les utilisateurs de patcher la vulnérabilité pour empêcher que des hackers ne prennent le contrôle de leurs sites.
Brainstorm Force a déclaré qu’elle n’a enregistré qu’un seul incident où un client a vu son site Web violé dû au bug. Mais il a reçu un autre rapport d’une attaque réussie après le premier rapport qu’il a reçu mercredi.
Une vulnérabilité sérieuse pourrait donner un accès administrateur aux hackers
La vulnérabilité du plugin pourrait donner aux hackers un accès complet à la section administration de l’éditeur WordPress. Cependant, cela n’affectera que les sites Web avec les plugins susceptibles d’être installés. Dans un article publié par Malcare jeudi, les hackers pourraient avoir un accès complet aux sites Web WordPress qui ont ces plugins vulnérables installés.
Ils peuvent prendre le contrôle total de la section d’administration et verrouiller les propriétaires à l’extérieur. Cela explique pourquoi la vulnérabilité est une chose sérieuse qui doit être réparée à temps, a dit Malcare. En attendant, il avertit les éditeurs qui ont ces plugins installés sur leur site web d’être plus conscients du fait que les plugins sont vulnérables.
Malcare a dit que la faille a été découverte mercredi et a contacté Brainstorm Force sur la découverte jeudi. Il a appelé la faille «bug de contournement de l’authentification».
Les développeurs de Brainstorming Force ont réagi rapidement à l’alerte et ont publié une correction pour le bogue qui a affecté les deux plugins en quelques heures. Il a déjà publié des versions qui pourraient corriger le plugin (version 1.20.1 ultimate Addons for Elementor et version 1.2.4.1 pour Beaver Builder Addons).
D’autres équipes de recherche ont également suivi le bug
WebARX, une autre équipe de recherche sur la sécurité, a déclaré qu’elle a commencé à suivre les activités du bug. L’équipe a révélé que les hackers ont commencé à tirer parti de la vulnérabilité du plugin. Selon l’équipe de recherche, les hackers ont commencé à cibler les sites présentant ces vulnérabilités de plugins à partir du 10 décembre.
WebEx a déclaré que les attaquants installent de faux plugins de statistiques SEO en téléchargeant le fichier tmp.zip. Le plugin ajoutera alors une porte dérobée .php au répertoire racine du site Web vulnérable.
Le nombre de clients touchés est inconnu
Selon Brainstorm Force, le nombre de clients infecté n’est pas encore connu. L’équipe de recherche a fait remarquer qu’elle ne pouvait pas vérifier le nombre de clients puisqu’elle n’a pas accès aux serveurs qui hébergent les sites vulnérables. Mais Brainstorm Force a déclaré que le nombre de sites touchés pourrait être faible puisque le hacker doit encore avoir accès à l’adresse électronique de la victime. Seuls quelques utilisateurs admin peuvent avoir compromis leur site, en particulier ceux qui ont des identifiants d’utilisateur admin faciles à utiliser.
Brainstorm Force a révélé que les sites deviennent vulnérables lorsque l’administrateur installe les plugins Beaver Builder et Elementor sur leur plate-forme WordPress. Le hacker n’aurait alors besoin que de l’adresse e-mail de l’utilisateur administrateur du site pour exploiter la faille, selon MalCare.
Chaque fois que le plugin vulnérable est utilisé, le hacker aura facilement accès à la section d’administration du site Web de l’utilisateur. MalCare a dit que la version vulnérable du plugin a une fonctionnalité qui donne accès aux attaquants potentiels. Ils peuvent utiliser un nom d’utilisateur et un mot de passe réguliers pour se connecter à l’administrateur du site Web. Il permet également la méthode d’authentification Google et Facebook. Mais WebEx a déclaré que ces méthodes d’authentification n’ont pas de contrôle de mot de passe, car elles ne nécessitent pas de mot de passe.
Les utilisateurs affectés peuvent appliquer le correctif pour le bug
Les deux plugins vulnérables sont développés pour aider les éditeurs WordPress à ajouter facilement des fonctions utilisateur et des designs avancés à leurs sites. Les éditeurs peuvent utiliser des frameworks spécifiques Elementor et Beaver, pour ajouter ces fonctions à leurs sites.
Déjà, Brainstorm Force a informé le public sur les vulnérabilités et les efforts qu’il a faits pour corriger le bug. Les utilisateurs pourront bloquer les attaquants potentiels en appliquant le bug corrigé et en mettant à jour le plugin dans leurs sites, selon Brainstorm Force.
