Accelerated Mobile Pages
Produits et Services PRODUITS & SERVICES

Vulnérabilité dans le plugin Accelerated Mobile Pages (AMP) pour WordPress : mettez à jour dès maintenant !

"Accelerated Mobile Pages" est une technologie Google qui aide à la création de pages qui se chargeront plus rapidement sur les appareils mobiles. Selon une note du développeur, une faille de sécurité qui aurait "pu être exploitée par des non-administrateurs du site" a été découverte dans ce plugin.

Si vous êtes l’un des 100 000 utilisateurs (et plus) d’AMP pour WP, bonne nouvelle : le plugin populaire permettant d’implémenter Accelerated Mobile Pages est de retour sur WordPress.org depuis la semaine dernière !

Accelerated Mobile Pages” est une technologie Google grâce à laquelle les utilisateurs de CMS tels que WordPress peuvent créer des pages qui se chargeront plus rapidement sur les appareils mobiles. Pour ce faire, un plugin est nécessaire, et c’est justement là qu’AMP pour WP entre en jeu !

L’arrêt de ce plugin, qui est intervenu brusquement le 21 octobre, commençait à paraître un peu inhabituel.

Selon une note du développeur, la raison de cette disparition était une faille de sécurité qui paraissait inquiétante et qui “pouvait être exploitée par des non-administrateurs du site”.

Il a également indiqué que les utilisateurs actuels pouvaient continuer à utiliser le plugin pendant ce temps, ce qui n’a pas vraiment rassuré tous ceux qui l’utilisaient dans son état vulnérable les jours qui ont suivi.

Nous avons reçu un rapport de WordPress selon lequel ils ont découvert une vulnérabilité de sécurité dans notre plugin qui pourrait être exploitée par des non-administrateurs du site. Par conséquent, pour éviter toute exploitation, ils ont empêché temporairement notre plugin d’être de nouveau téléchargé. Mais les utilisateurs actuels peuvent continuer d’utiliser notre plugin comme d’habitude.  

Le lendemain du jour où AMP pour WP est réapparu sur WordPress.org, à savoir le 14 novembre, WebARX, entreprise qui a découvert les problèmes de sécurité, a enfin expliqué la faiblesse constatée.

L’experte Luka Šikić a écrit :

Dans le développement de plugins WordPress, vous avez la possibilité d’enregistrer des points d’ancrage ajax, vous permettant ainsi d’appeler directement des fonctions au niveau de wp-admin/admin-ajax.php?action=action_name.

Sauf que cet ancrage ne vérifiait pas le rôle exact du compte d’un utilisateur, ce qui signifiait :

Qu’avec les paramètres du plugin, les administrateurs pouvaient mettre des annonces, ajouter du code HTML personnalisé dans l’en-tête ou le pied de page. En l’absence de validation du rôle de l’utilisateur, tout utilisateur peut injecter ses annonces, ses scripts de minage ou ses malwares javascript.  

En d’autres termes, il s’agissait d’une sournoise élévation de privilèges, impossible à détecter avant que de réels dégâts ne soient causés.

Quoi faire ?

La version corrigée du plugin Accelerated Mobile Pages pour WP est la suivante : 0.9.97.20 (voir le changelog complet). Par conséquent, son installation devrait être votre première priorité. Si un site autorise l’enregistrement ouvert d’un utilisateur, l’installation de cette mise à jour devient vraiment un problème critique.

Vous pouvez vérifier si vous avez le plugin Accelerated Mobile Pages en vous connectant à WordPress et en choisissant Plugins dans le menu. Si des plugins doivent être mis à jour, ils apparaissent en orange dans la liste des plugins et, si vous disposez de la dernière version d’AMP pour WP, ils apparaissent en bleu, comme suit :

Accelerated Mobile Pages

La prochaine étape utile consiste à demander si votre site nécessite tout simplement l’enregistrement d’utilisateurs. Le désactiver rend votre site moins vulnérable vis-à-vis de cette classe de vulnérabilité (consultez la récente faille du plugin WordPress GDPR pour avoir un autre exemple du même problème). Pour ce faire, il suffit de décocher la case sous Paramètres>Adhésion.

Si vous envisagez de laisser l’enregistrement activé, sachez simplement que cela comporte des risques supplémentaires.

Comme toujours, nous devrions toujours commencer par compliquer la vie des cybercriminels !


Billet inspiré de Update now! Dangerous AMP for WordPress plugin fixed, sur Sophos nakedsecurity.