Une nouvelle attaque sur des plugins WordPress
Des pirates ont exploité une vulnérabilité de type “zero-day” dans un plugin WordPress réalisé par ThemeREX, qui propose des thèmes payants sur WordPress. Les attaques, détectées par Wordfence – éditeur d’un pare-feu pour les sites WordPress – ont commencé ce mardi, le 18 février.
Elles visent les Addons ThemeREX, un plugin WordPress livré pré-installé avec tous les thèmes de la société. Le rôle de ce plugin est d’aider les acheteurs de produits ThemeREX à mettre en place leurs nouveaux sites et à contrôler les différentes fonctionnalités des thèmes. Wordfence estime que le plugin est installé sur plus de 44 000 sites.
Selon le département de sécurité de WordPress, le plugin fonctionne en configurant un point d’extrémité WordPress REST-API mais ne vérifie pas que les commandes envoyées à cette REST API proviennent d’utilisateurs autorisés (le propriétaire du site).
« Cela signifie que le code distant peut être exécuté par n’importe quel visiteur, même ceux qui ne sont pas authentifiés sur le site », explique Chloe Chamberland, analyste des menaces chez Wordfence. « Le plus inquiétant dans cette attaque est la possibilité de créer un nouvel administrateur, qui pourra contrôler complètement le site », ajoute-t-elle avant de mettre en garde : « nous demandons instamment aux utilisateurs de supprimer temporairement le plugin ThemeREX Addons, si la version utilisée est supérieure à 1.6.50, jusqu’à ce qu’un correctif soit publié ».
Deux attaques en cours sur WordPress
Malheureusement, cette attaque n’est pas la seule à avoir été repéré cette semaine sur WordPress. En effet, une autre vague visait les sites utilisant ThemeGrill Demo Importer, un autre fabricant de thèmes WordPress.
Ces attaques s’inscrivait plus dans une logique de destruction du contenu plutôt que dans le cadre d’une opération de cybercriminalité ou de botnet. Selon WebARX et des rapports publiés sur Twitter, les pirates ont utilisé un bug dans le plugin ThemeGrill pour effacer des bases de données et réinitialiser les sites WordPress. Dans de rares circonstances, les attaquants pourraient également s’emparer de sites vulnérables en détournant leur compte administrateur. Plus de 200 000 sites WordPress utiliseraient ce plugin ThemeGrill.
Pour ThemeGrill, il s’agit d’attaques dites “1-day”, ce qui signifie que les attaques ont lieu immédiatement après qu’un correctif ait été fourni pour une vulnérabilité. Les utilisateurs peuvent se protéger en mettant à jour le plugin en question.
Concernant ThemeREX, ce sont des attaques dites “zero-day” car elles exploitent un bug pour lequel il n’existe pas de correctif. Comme vous avez pu le lire ci-dessus, Wordfence recommande de désactiver ce plugin jusqu’à ce qu’un correctif soit disponible.
Source : ZDNet.com