Les quatre millions et plus d’utilisateurs du plugin WooCommerce ont tout d’abord été informés de ce problème il y a quelques semaines dans les notes de publication de la version mise à jour :
Les versions 3.4.5 et antérieures sont affectées par une série de problèmes permettant aux Shop Managers d’aller au-delà de leurs prérogatives et d’effectuer des actions malveillantes.
Cette semaine, l’entreprise de sécurité PHP RIPS Technologies a publié la recherche qui a conduit à cet avertissement, donnant ainsi aux administrateurs de WooCommerce et de WordPress davantage de détails, plutôt effrayants d’ailleurs.
La vulnérabilité comporte deux parties, la première que les chercheurs décrivent comme une “faille de conception dans le système de privilèges de WordPress”.
La seconde, dans le plugin WooCommerce lui-même, est une vulnérabilité de suppression de fichier apparemment simple, concernant les versions 3.4.5 et antérieures.
Laquelle des deux constitue le problème le plus important ? Cela dépend de votre préoccupation principale, à savoir si vous vous inquiétez davantage de la fonction e-commerce d’un site ou bien si vous êtes l’administrateur de celui-ci. De toutes les façons, la combinaison des deux est source de problèmes.
La vulnérabilité
Après avoir obtenu l’accès via une attaque de phishing ou via un insider, un attaquant peut utiliser une faiblesse de la routine de suppression du fichier log pour supprimer woocommerce.php, supprimant ainsi le site et obligeant WordPress à désactiver le plugin.
Simon Scannell, chercheur chez RIPS Technologies, a découvert que cela suffisait à tout utilisateur de WooCommerce possédant un compte Shop Manager et ayant une bonne compréhension des actions qui avaient été menées, pour compromettre l’ensemble du site.
Mais comment ?
Lorsque WooCommerce est installé, le Shop Manager se voit attribuer la puissante fonction d’edit_users, nécessaire pour modifier les comptes clients, qui sont stockés par WordPress lui-même.
Étant donné que cette fonction pourrait également être utilisée pour modifier le compte administrateur du site WordPress, sa portée est limitée par un filtre spécial “méta-capability” au niveau de WooCommerce.
Malheureusement, pour que WordPress applique cette protection, le plugin doit être actif, ce qui ne sera pas le cas si un attaquant a réussi à exploiter la faiblesse de suppression du fichier au sein de WooCommerce.
Scannell a écrit :
La vérification des méta-privilèges qui empêche les shop managers de modifier des administrateurs ne s’exécutera pas. Le comportement par défaut consistant à autoriser les utilisateurs dotés du droit “edit_users” à modifier tout utilisateur, même les administrateurs, reste donc actif et valide.
Le compte WooCommerce doté des privilèges Shop Manager serait alors en mesure d’élever ces derniers pour changer le mot de passe du site et ainsi contrôler celui-ci en entier.
Quoi faire ?
Du côté de WooCommerce, assurez-vous qu’il a été mis à niveau avec la version 3.4.6, parue le 11 octobre. Les plugins ne sont pas mis à jour par défaut, signifiant ainsi que les administrateurs devront l’initialiser eux-mêmes via la barre latérale wp-admin dashboard/plugins.
En ce qui concerne le correctif WooCommerce :
Avec cette version, les Shop Managers ne peuvent modifier que les utilisateurs avec le rôle Client par défaut. Une liste blanche de rôles que les Shop Managers peuvent modifier est également disponible.
Re-concevoir la manière dont le système de permission WordPress interagit avec les plugins pourrait prendre un peu plus de temps.
Pour des raisons aussi longues que votre bras, les plugins ont toujours été la face cachée de WordPress. Le TL;DR est qu’ils ont besoin d’une surveillance constante, tout comme la plateforme elle-même d’ailleurs, ne prenez jamais quoi que ce soit pour acquis !
Billet inspiré de Update now! WordPress sites vulnerable to WooCommerce plugin flaw, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.