Vous vous rappelez de ce vieil adage au sujet des mauvaises nouvelles qui arrivent toujours par lot de 3 ? Le chasseur de bugs Wordfence serait probablement d’accord avec celui-ci, notamment après avoir découvert quelques bugs Zero-Day dans un groupe de 3 plugins WordPress.
Cette histoire commence plutôt mal en effet, mais le pire est que ces vulnérabilités avaient déjà été exploitées lorsque l’entreprise les a découvertes, par hasard, lors de recherches menées dans le cadre de récentes cyberattaques. Ainsi, quiconque utilisant ces plugins est potentiellement en danger et devrait mettre à jour son site immédiatement !
Les plugins sont (avec les versions corrigées) :
- Appointments par WPMU Dev (corrigé dans la version 2.2.2).
Il s’agit d’un plugin qui aide les petites entreprises dans leur organisation, notamment au niveau de la prise de rendez-vous et de la gestion des contacts clients.
- Flickr Gallery de Dan Coulter (corrigé dans la version 1.5.3).
Il sert à l’intégration d’images Flickr mais est à présent stoppé. Ce plugin a été testé uniquement avec WordPress 3.0.5, qui a plus de six ans maintenant. Merci de ne pas utiliser un plugin aussi ancien !
- RegistrationMagic-Custom Registration Forms par CMSHelpLive (corrigé dans la version 3.7.9.3).
Il offre une gamme de fonctionnalités concernant la gestion de l’inscription d’utilisateurs.
La durée pendant laquelle les cybercriminels ont pu exploiter ces bugs WordPress n’est pas connue à l’heure actuelle, mais tous sont qualifiés de “critiques”, et ont atteint un CVSS (Common Vulnerabilities Scoring System) assez alarmant de 9,8. N’importe lequel de ces 3 bugs WordPress peut être utilisé pour créer une backdoor, afin de prendre intégralement le contrôle d’un site web vulnérable.
La recherche de tels bugs nécessite en général un réel travail d’investigation, c’est donc une chance de les avoir finalement trouvés ainsi :
Les exploits étaient insaisissables : un fichier malveillant semblait venir de nul part, et même les sites avec des historiques d’accès ne montraient qu’une requête POST, au niveau de /wp-admin/admin-ajax.php, au moment de la création du fichier.
Ainsi, mettre en place une porte dérobée au sein d’un site vulnérable est aussi simple que d’envoyer l’exploit, via une requête POST, sur le endpoint WordPress AJAX admin-ajax.php
ou, dans le cas de la Galerie Flickr sur l’URL racine. A ce stade, la partie est clairement terminée. Aucune identification ou élévation de privilèges n’est en plus nécessaire.
La bonne nouvelle est qu’aucun de ces trois bugs WordPress n’est largement utilisé, au niveau des comptes combinant les 21 000 installations, sur les dizaines de millions de sites utilisant WordPress. Inutile de dire que l’un de ces sites, qui utiliserait ces plugins, et qui ne prendrait pas en compte les avertissements, pourrait le payer très cher !
Les bugs des plugins WordPress sont un souci constant, et ils ne sont pas toujours simples à corriger.
Plus tôt cette année, 200 000 sites web avaient été affectés par un code spam malveillant caché dans un plugin appelé Display Widgets, et qui a été dûment supprimé du référentiel WordPress. Sauf que chaque fois qu’il était réintégré de nouveau, le problème réapparaissait, et ce à quatre reprises au total.
Au final, le plugin a été de nouveau soumis, en tant que version plus ancienne et sécurisée.
Cet incident met en évidence une faiblesse dans la sécurité des plugins WordPress. Le cœur de WordPress est correctement mis à jour et pris en charge par une équipe sécurité très sérieuse et réactive, qui peut déployer automatiquement des mises à jour de sécurité au niveau des millions d’installations WordPress dans le monde. Par contre, l’écosystème des plugins, à savoir une collection de dizaines de milliers de logiciels tiers qui peuvent transformer un site de recherche d’emplois en une galerie de photos, a vraiment un air de “Far West”. En grande partie, la sécurité de votre site WordPress dépend de la qualité des plugins que vous avez installés.
Les propriétaires de sites qui utilisent un plugin vulnérable dépendent du créateur pour obtenir une réponse rapide aux divers problèmes. Ainsi, installez plutôt un logiciel qui est activement et régulièrement mis à jour. Lorsque les mises à jour du plugin sont disponibles, des notifications apparaîtront dans l’interface d’administration de votre site, au niveau de l’onglet Plugins dans Tableau de bord | Mises à jour. Connectez-vous et vérifiez souvent, tous les jours si vous le pouvez, ou bien payez une personne qui le fera pour vous (ce même principe s’applique d’ailleurs à d’autres CMS tels que Drupal, Joomla ou Magento).
Les hébergeurs de sites web sérieux vous tiendront au courant ou vous alerteront s’ils pensent que vous utilisez des logiciels vulnérables. Certaines entreprises spécialisées dans l’hébergement web sous WordPress détiennent également leurs propres listes de plugins vérifiés.
Billet inspiré de Hackers pounce on 3 vulnerable WordPress plugins, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.