Posté le juillet 15, 2023 à 7:46
LES SITES WORDPRESS SONT EN DANGER SUITE À L’EXPLOITATION D’UNE FAILLE CRITIQUE DANS LE PLUGIN DE PAIEMENT WOOCOMMERCE PAR DES ACTEURS MALVEILLANTS
Selon des experts en sécurité, plus de 600 000 sites web risquent d’être piratés à cause d’un seul plugin. Le plugin en question est le plugin WooCommerce Payments, qui est généralement inclus dans tout site web WordPress permettant aux utilisateurs de connecter leurs cartes de crédit et de débit et d’effectuer des paiements. Qu’il s’agisse d’achats, d’abonnements ou autres, le plugin WooCommerce Payments est une solution universelle pour ces plateformes.
Aujourd’hui, ils sont tous en danger à cause d’une exploitation du plugin, qui permet aux hackers d’obtenir les privilèges de n’importe quel utilisateur, y compris les administrateurs. Comme indiqué, le plugin est utilisé sur environ 600 000 sites web.
Quelles sont les versions du plugin concernées ?
Il y a quelque temps, les développeurs ont découvert que le plugin comportait une faille, c’est pourquoi ils ont rapidement créé un correctif. Le correctif est sorti le 23 mars de cette année, sous le nom de version 5.6.2. Son objectif était de corriger une vulnérabilité critique de niveau 9.8, désormais connue sous le nom de CVE-2023-28121. La faille affecte le plugin WooCommerce Payments, à partir de la version 4.8.0. Cependant, elle a depuis été corrigée pour les versions 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2 et ultérieures.
Les experts ont révélé que cette faille permet à n’importe quel individu de jouer le rôle d’administrateur et de prendre le contrôle de sites web WordPress à distance. Lorsque la faille a été révélée, WooCommerce a déclaré qu’il n’y avait pas d’exploitation active connue de la vulnérabilité. Cependant, les chercheurs pensent que ce n’est qu’une question de temps avant que la faille ne soit exploitée.
Après avoir pris connaissance du problème, RCE Security a analysé le bug et publié un blog technique expliquant comment la vulnérabilité peut être exploitée. Les chercheurs du RCE ont expliqué que les attaquants pouvaient simplement ajouter un en-tête de requête « X-WCPAY-PLATFORM-CHECKOUT-USER », ce qui leur permettrait de définir l’identifiant de tout compte dont ils souhaitent usurper l’identité.
Dès que le système repère le header, il commence à traiter la requête comme si elle provenait d’un utilisateur spécifié, lui accordant tous les privilèges qui l’accompagnent. Les chercheurs ont également publié une preuve de concept qui utilise la faille pour créer un nouvel utilisateur administrateur.
Les hackers se sont immédiatement mis au travail après que la menace a été portée à la connaissance du public. Selon Wordfence, les acteurs de la menace exploitent déjà la faille dans le cadre d’une campagne massive. Selon leurs estimations, les hackers avaient ciblé plus de 157 000 sites web samedi dernier. L’entreprise de sécurité a indiqué que la campagne a été lancée jeudi dernier, le 14 juillet, et qu’elle s’est poursuivie pendant le week-end. Elle a culminé à 1,3 million d’attaques visant 157 000 sites le 16 juillet.
Les attaquants ont utilisé les méthodes prévues
Comme prévu, les hackers ont utilisé l’exploit pour créer des comptes d’administrateur ou installer le plugin WP Console sur les appareils ciblés. Dans les cas où WP Console a été installé, les hackers ont utilisé le plugin pour exécuter un code PHP qui installe un téléchargeur de fichiers sur le serveur ciblé. Ce dernier peut alors être utilisé comme porte dérobée, même si la vulnérabilité est corrigée, ce qui permet aux pirates de continuer à exploiter le site web.
D’autres attaquants ont utilisé l’exploit de manière plus directe, en créant des comptes d’administrateur protégés par leurs propres mots de passe. Jusqu’à présent, les chercheurs en sécurité ont identifié et partagé sept adresses IP responsables des attaques. L’une de ces adresses – 194.169.175.93 – a été utilisée pour scanner pas moins de 213 212 sites web WordPress différents.
Les experts suggèrent à tous les propriétaires de sites web qui utilisent le plugin WooCommerce Payments de mettre immédiatement à jour leurs plugins ou au moins de s’assurer qu’ils sont à jour. Ne pas le faire permettrait aux hackers de prendre le contrôle du site web, d’assurer l’existence de multiples portes dérobées et de nuire au site et à ses utilisateurs.
La faille dans les plugins vulnérables et non mis à jour est extrêmement facile à exploiter, c’est pourquoi les chercheurs en sécurité recommandent également aux administrateurs de sites d’analyser leurs sites web pour y trouver des fichiers PHP. Tout fichier qui semble inhabituel ou suspect doit être supprimé immédiatement.
