La vulnérabilité d'un plugin WordPress a ouvert un million de sites à une prise de contrôle à distance,
cette faille permet à toute personne non identifiée d'acceder aux informations sensibles

Les chercheurs en sécurité de Wordfence, une société spécialisée dans l'ingénierie logicielle et la sécurité, ont révélé que des vulnérabilités dans OptinMonster, un plugin de marketing par courriel pour WordPress, ont exposé un million de sites à une prise de contrôle à distance. Les vulnérabilités permettent à un cybercrinel d'accéder à des informations sensibles et d'ajouter du code JavaScript malveillant aux sites WordPress.

OptinMonster est un plugin conçu pour aider les propriétaires de sites WordPress à générer des campagnes de marketing par courriel. L'équipe Wordfence Threat Intelligence aurait informé les développeurs de ce plugin de la faille le 28 septembre et une version entièrement corrigée d'OptinMonster, la version 2.6.5, a été publiée le 7 octobre. Wordfence a publié le 27 octobre un avis de sécurité détaillant ses conclusions.

Nom : Wordpress.png
Affichages : 150574
Taille : 15,1 Ko

« Le 28 septembre 2021, l'équipe Wordfence Threat Intelligence a lancé le processus de divulgation responsable pour plusieurs vulnérabilités que nous avons découvertes dans OptinMonster, un plugin WordPress installé sur plus de 1 000 000 de sites. Ces failles permettaient à un cybercriminel non authentifié, c'est-à-dire n'importe quel visiteur du site, d'exporter des informations sensibles et d'ajouter des JavaScript malveillants aux sites WordPress. Les utilisateurs de Wordfence Premium ont reçu le 28 septembre 2021 une règle de pare-feu pour se protéger contre tout exploit ciblant ces vulnérabilités. Les sites utilisant encore la version gratuite de Wordfence recevront la même protection le 28 octobre 2021 », a déclaré Wordfence.

OptinMonster est un plugin incroyablement intuitif et facile à utiliser, conçu pour créer des campagnes de vente sur des sites WordPress grâce à l'utilisation de boîtes de dialogue. La grande majorité des fonctionnalités du plugin ainsi que le site de l'application OptinMonster reposent sur l'utilisation de points de terminaison API pour permettre une intégration transparente et un processus de conception simplifié. Malheureusement, la majorité des points de terminaison REST-API n'ont pas été implémentés de manière sécurisée, ce qui permet à des attaquants non authentifiés d'accéder à de nombreux points de terminaison sur des sites utilisant une version vulnérable du plugin.

Le plus critique des points de terminaison REST-API était le point de terminaison /wp-json/omapp/v1/support, qui divulguait des données sensibles telles que le chemin complet du site sur le serveur, ainsi que la clé API nécessaire pour effectuer des requêtes sur le site OptinMonster. En accédant à la clé API, un cybercriminel pouvait modifier toute campagne associée au compte OptinMonster connecté à un site et ajouter un JavaScript malveillant qui s'exécuterait chaque fois qu'une campagne serait affichée sur le site exploité.

Cela signifie aussi que n'importe quel attaquant non authentifié peut ajouter un JavaScript malveillant à un site exécutant OptinMonster, ce qui peut conduire à la redirection des visiteurs du site vers des domaines malveillants externes et à la prise de contrôle totale des sites dans le cas où un JavaScript est ajouté pour injecter de nouveaux comptes d'utilisateurs administratifs ou écraser le code du plugin avec un webshell pour obtenir un accès backdoor à un site.

Heureusement, l'équipe d'OptinMonster a invalidé toutes les clés API pour obliger les propriétaires de sites à générer de nouvelles clés dans le cas où une clé aurait été précédemment compromise, et a mis en place des restrictions qui empêchent les clés API associées aux sites WordPress d'effectuer des changements de campagne en utilisant l'application OptinMonster, ce qui empêche l'exploitation de cette chaîne de vulnérabilité.

Le CMS WordPress alimente environ 41 % du Web y compris le site de la Maison Blanche

WordPress est un système de gestion de contenu (SGC ou content management system (CMS) en anglais) gratuit, libre et open source. Ce logiciel écrit en PHP repose sur une base de données MySQL et est distribué par la fondation WordPress.org. Les fonctionnalités de WordPress lui permettent de créer et gérer différents types de sites Web : site vitrine, site de vente en ligne, site applicatif, blog, portfolio, site institutionnel, site d'enseignement, etc.

Le baromètre W3Techs a indiqué en fin d’année dernière que l'utilisation du CMS WordPress continue de croître : le CMS était à cette date utilisé sur 39,5 % des sites web et serait aujourd’hui utilisé par un peu plus de 41 % des sites du Web. Les nouveaux locataires de la Maison blanche ont choisi de rester sur le CMS WordPress pour lancer le site de la Maison Blanche. L'administration précédente est passée de Drupal à WordPress en 2017, et les développeurs web travaillant avec l'administration Biden ont décidé de s'en tenir au même CMS.

En 2016, WordPress a été le CMS le plus ciblé par les cyberattaques, selon une étude menée par la société de sécurité Sucuri. En 2018, le CMS a vu le nombre de vulnérabilités qui lui sont liés tripler. Pour WordPress, le risque est encore plus élevé puisque le CMS propulse près de 41 % des sites du Web, un pourcentage de taille qui fait qu’il existe un large nombre de victimes potentielles, un facteur important qui attire les hackers. Il est recommandé aux utilisateurs du plugin OptinMonster de vérifier que le site a été mis à jour avec la dernière version corrigée d'OptinMonster, qui est la 2.6.5.

Source : Wordfence

Et vous ?

Quel est votre avis sur le sujet ?

Un de vos sites CMS a-t-il déjà fait l'objet d'attaque ? Comment gérez-vous la sécurité ?

Que conseilleriez-vous pour "garantir" la sécurité des sites CMS en ligne ?

Voir aussi :

Le CMS WordPress est désormais utilisé sur 39,5 % des sites web, seuls 38,4 % des sites Web n'utilisent pas un CMS, selon les statistiques de W3Techs

L'administration Biden choisit de rester sur le CMS WordPress pour lancer le site de la Maison Blanche, l'administration Trump était passée de Drupal à WordPress

WordPress envisage de traiter FLoC de Google comme un problème de sécurité et pourrait le désactiver automatiquement des sites Web, le CMS rappelle qu'il alimente environ 41 % du Web

Wix s'attaque à WordPress par le biais d'une étrange campagne de dénigrement et envoie des casques antibruit aux utilisateurs "influents" du projet