Selon un article de blog écrit par Mikey Veenstra de Defiant, l’entreprise pare-feu de WordPress (anciennement Wordfence), les attaques visant le plugin Abandoned Cart, exploitent une faille XSS (cross-site scripting) dans la version 5.1.3, un plugin conçu pour aider les administrateurs de site à analyser et récupérer les ventes perdues lorsque les acheteurs abandonnent leurs paniers.
Cette vulnérabilité, qui concerne à la fois la version payante et gratuite du logiciel, est utilisée pour installer deux portes dérobées compromettant le site, la deuxième effectue une discrète sauvegarde au cas où les propriétaires du site détectent et désactivent la première.
L’attaque implique que les pirates créent un panier contenant des informations de contact factices, qui est ensuite abandonné. Lorsque les données de ces champs sont visualisées par un administrateur de site, l’absence de nettoyage des sorties signifie alors que les champs “billing_first_name” et “billing_last_name” deviennent un seul champ client contenant une injection JavaScript virale.
Cette technique utilise la session du navigateur de l’administrateur pour activer les portes dérobées, en commençant par un compte administrateur non autorisé, ajouté à l’aide d’un iframe caché qui déclenche alors la création d’un nouveau compte. À ce stade, une notification de succès est envoyée via le command and control de l’attaquant.
La deuxième porte dérobée est ensuite activée en ouvrant un autre iframe au niveau du menu des plugins, qui effectue une analyse dans le but de trouver un lien “activer” indiquant qu’ils sont inactifs. Cette étape est rendue possible grâce à l’injection d’un script de porte dérobée PHP qui reste inactif jusqu’à ce que les attaquants décident de l’activer.
Combien de sites ont été ciblés ?
Dans une interview avec ZDNet, Veenstra a déclaré que Defiant avait détecté 5 251 accès au niveau d’un lien bit.ly associé aux attaques.
Une telle estimation semble exagérer le nombre réel d’infections actives, tout en sous-estimant peut-être le nombre d’infections inactives (c’est-à-dire celles en place mais non encore déclenchées).
Cela nous oblige à deviner en quelque sorte le nombre réel, mais il pourrait s’agir de centaines, voire de milliers de sites, parmi les quelque 20 000 installations qui ont téléchargé le plugin Abandoned Cart.
Il est encore plus difficile de déterminer le nombre d’attaques réussies, car Defiant ne détecte que les attaques lorsqu’il les repousse à l’aide de son pare-feu Wordfence. Plus mystérieux encore est l’objectif ultime du hacker en lançant ce type d’attaque.
Quoi faire ?
La faille a été corrigée le 18 février avec la publication de la version 5.2.0, qui “ajoute des vérifications de nettoyage de la capture des champs de paiement pour les utilisateurs invités”. Toute personne utilisant le plugin Abandoned Cart doit effectuer la mise à jour vers cette version ou une version ultérieure dès que possible.
Cependant, selon Defiant, cela ne traite pas la deuxième porte dérobée affectant les plugins inactifs. L’entreprise recommande d’examiner toutes les bases de données en vue d’éventuelles injections.
Une fois cette vérification terminée, examinez les comptes d’utilisateurs présents sur votre site. Si des comptes d’administrateur non autorisés sont présents, supprimez-les immédiatement et amorcez votre processus de réponse aux incidents.
Comme avec les précédents incidents de vulnérabilité WordPress/plugin, le problème de la mise à jour n’est jamais bien loin.
Un rapport récent de Sucuri a indiqué que le plus gros risque pour la plupart des systèmes de gestion de contenu sont les plugins, les thèmes et les extensions, qui ont tendance à être installés sans être mis à jour régulièrement.
Billet inspiré de Update now! WordPress abandoned cart plugin under attack, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.