Une faille très exploitée du plugin WordPress File Manager affecte des sites web
Les développeurs du plugin WordPress File Manager ont corrigé un problème de sécurité activement exploité permettant le détournement complet du site web.
L’équipe de sécurité de Sucuri WordPress a déclaré que la vulnérabilité est apparue dans la version 6.4 du logiciel, qui est utilisée comme alternative au FTP pour gérer les transferts de fichiers, la copie, la suppression et les téléchargements. File Manager compte plus de 700 000 installations actives.
Dans la version 6.4, sortie le 5 mai, un fichier a été renommé dans le plugin à des fins de développement et de test. Cependant, plutôt que d’être conservé comme un changement local, le fichier renommé a été accidentellement ajouté au projet.
La faille s’est rapidement répandue
Le fichier en question a été extrait par elFinder de tiers dépendants et utilisé comme référence de code. Une extension ajoutée au fichier, le changement de nom de connector-minimal.php-dist en connector-minimal.php, était une petite modification – mais elle a suffi à déclencher une vulnérabilité critique dans le populaire plugin.
Le script d’ElFinder, en tant que gestionnaire de fichiers, accorde aux utilisateurs des privilèges élevés pour la modification, le téléchargement et la suppression de fichiers. Comme le système est axé sur la facilité d’utilisation, pour configurer le gestionnaire de fichiers elFinder, il suffit de changer l’extension du fichier de .php-dist à .php, et la voie est ainsi ouverte aux attaques.
Bien que l’utilisation du fichier comme référence ait pu aider l’équipe à tester les fonctionnalités localement, les chercheurs affirment que le fait de laisser un tel script (intentionnellement conçu pour ne pas vérifier les autorisations d’accès) dans un build public provoque une « vulnérabilité catastrophique si ce fichier est laissé tel quel lors du déploiement ».
Vulnérabilité résolue, mais peu de sites web mis à jour
« Ce changement a permis à tout utilisateur non authentifié d’accéder directement à ce fichier et d’exécuter des commandes arbitraires à la bibliothèque, y compris le téléchargement et la modification de fichiers, laissant finalement le site web vulnérable à une prise de contrôle complète », explique Sucuri.
La solution est assez simple : il suffit de supprimer le fichier (qui n’a jamais fait partie des fonctionnalités du plugin de toute façon) et les autres fichiers .php-dist inutilisés. Cependant, une semaine avant que le fichier ne soit supprimé, un code de preuve de concept (PoC) a été publié sur le dépôt de code GitHub, entraînant une vague d’attaques contre les sites web avant que la version 6.9 ne soit disponible.
D’après Sucuri, la faille a rapidement pris de l’ampleur. La première attaque a été repérée le 31 août, un jour avant la sortie d’une version fixe du gestionnaire de fichiers. Le nombre d’attaques par heure est passé à environ 1 500, et un jour plus tard, il est passé à une moyenne de 25 000 attaques toutes les 60 minutes. Le 2 septembre, l’équipe a enregistré environ 10 000 attaques par heure. Au total, Sucuri a suivi « des centaines de milliers de demandes émanant d’acteurs malveillants qui tentent de l’exploiter ».
Bien que la vulnérabilité soit désormais résolue, à l’heure où nous écrivons ces lignes, seuls 6,8% des sites web WordPress ont été mis à jour avec la nouvelle version du plugin, laissant de nombreux sites web encore vulnérables.
En juillet, une vulnérabilité XSS a été corrigée dans KingComposer, un générateur de pages par glisser-déposer. Le bogue, CVE-2020-15299, était causé par une fonction Ajax dormante qui pouvait être utilisée de manière abusive pour déployer des charges utiles malveillantes.
Source : ZDNet.com
