Des milliers de sites Web utilisent un plug-in WordPress bogué qui permet une prise de contrôle complète d'un site
toutes les versions seraient concernées et il n'y a pas de correctif

Les versions 3.0.1 et inférieures du plug-in WordPress "Kaswara Modern WPBakery Page Builder" souffriraient d'une vulnérabilité de téléchargement de fichier arbitraire. Son exploitation permettrait aux criminels de télécharger des fichiers PHP et JavaScript malveillants et même de prendre le contrôle complet du site Web d'une organisation. La vulnérabilité aurait été signalée au développeur du module depuis plus d'un an, mais ce dernier ne l'a jamais corrigée et des pirates auraient balayé près de 1,6 million de sites Web pour tenter de l'exploiter.

WordPress est connu pour être le système de gestion de contenu (CMS) le plus utilisé au monde, mais il est également connu pour être le CMS le plus ciblé par les pirates. L'équipe Wordfence de la société de cybersécurité WordPress Defiant a mis en garde la semaine dernière contre une augmentation des attaques ciblant une vulnérabilité non corrigée dans le module complémentaire Kaswara du plug-in WordPress WPBakery Page Builder. Ce bogue de sécurité de gravité critique permet à un attaquant non authentifié de télécharger des fichiers malveillants sur un site vulnérable, ce qui peut permettre l'exécution de code à distance.

Nom : attack-volume1.jpg
Affichages : 165788
Taille : 58,9 Ko

Divulguée pour la première fois en avril 2021, la faille a été répertoriée sous le nom de CVE-2021-24284 avec un score CVSS de 10. Selon Wordfence, un attaquant peut exploiter cette faille pour injecter du code JavaScript malveillant dans n'importe quel fichier de l'installation WordPress et prendre complètement le contrôle d'un site vulnérable. Lorsqu'elle a été découverte, la faille était activement exploitée, et Wordfence a averti les administrateurs de sites Web WordPress que le plug-in avait été fermé sans correctif, les exhortant à le supprimer immédiatement. Plus d'un après, entre 4 000 et 8 000 sites continueraient d'utiliser le plug-in.

Les développeurs du logiciel n'ont jamais corrigé le bogue, ce qui signifie que toutes les versions sont susceptibles d'être attaquées. L'équipe Wordfence a déclaré avoir constaté une augmentation massive du nombre de tentatives d'attaques visant la vulnérabilité au cours des deux dernières semaines, avec une moyenne de 440 000 par jour. Les attaques proviendraient de 10 215 adresses IP, dont cinq sont responsables de la majorité des attaques. Les chasseurs de bogues estiment que si 1 599 852 sites uniques ont été ciblés, la grande majorité d'entre eux ne sont pas impactés, étant donné qu'ils n'utilisent pas le plug-in.

« La majorité des attaques que nous avons vues envoient une requête POST à "/wp-admin/admin-ajax.php" en utilisant l'action AJAX "uploadFontIcon" présente dans le plug-in pour télécharger un fichier sur le site Web impacté. Vos journaux peuvent afficher la chaîne de requête suivante pour ces événements : "/wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1" », note Wordfence. La plupart des attaques tenteraient de télécharger une archive .ZIP contenant un fichier PHP malveillant qui est extrait dans le répertoire "/wp-content/uploads/kaswara/icons/", ce qui permet aux attaquants de déployer des charges utiles supplémentaires.

Nom : IP-addresses.jpg
Affichages : 5146
Taille : 59,3 Ko

Si vous êtes de ceux qui continuent à utiliser une des versions défectueuses du plug-in, c'est le moment de les débrancher. « Nous recommandons fortement de supprimer complètement le plug-in Kaswara Modern WPBakery Page Builder dès que possible et de trouver une alternative, car il est peu probable que le plug-in reçoive un jour un correctif pour cette vulnérabilité critique », a averti Wordfence. En outre, même si vous n'êtes pas directement concerné, n'importe lequel de ces sites Web vulnérables pourrait être compromis et modifié pour jouer un rôle dans d'autres attaques, comme une campagne d'hameçonnage ou l'hébergement de logiciels malveillants.

Ainsi, d'une certaine manière, cela démontre comment même des plug-ins mineurs peuvent alimenter une cybercriminalité plus large sur Internet. Par ailleurs, les chercheurs en sécurité ont également remarqué l'utilisation du cheval de Troie NDSW dans certaines de ces attaques. Ce cheval de Troie peut injecter du code dans des fichiers JavaScript légitimes et peut être utilisé pour rediriger les utilisateurs vers des domaines malveillants.

Source : L'équipe Wordfence

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de cette vulnérabilité qui affectent des milliers de sites Web WordPress ?

Voir aussi

Les sites WordPress seraient piratés dans les secondes qui suivent l'émission des certificats TLS, les cybercriminels utilisent abusivement le protocole Certificate Transparency proposé par Google

Une vulnérabilité critique dans un plug-in WordPress met 200 000 sites Web en danger, car à tout moment ils peuvent être effacés ou détourner à distance par un attaquant

Une campagne d'attaques massives cible 900 000 sites WordPress en une semaine, la redirection des visiteurs vers des sites malveillants et l'installation de portes dérobées PHP ont été découvertes

La vulnérabilité d'un plug-in WordPress a ouvert un million de sites à une prise de contrôle à distance, cette faille permet à toute personne non identifiée d'accéder aux informations sensibles