Des chercheurs ont fourni plus de détails sur une vulnérabilité, récemment corrigée, qui aurait permis à un attaquant de prendre le contrôle d’un site WordPress en utilisant quelque chose d’aussi simple qu’un commentaire créé de manière malveillante.
Découverte par RIPS Technologies, cette faille de type CSRF (cross-site request forgery) existe sur tout site utilisant la version 5.1 ou une version antérieure, avec les paramètres par défaut et les commentaires activés.
Le problème au cœur de cette faille vient de la manière avec laquelle WordPress se protège (ou pas) contre les prises de contrôle de type CSRF au niveau des commentaires.
Les attaques CSRF se produisent lorsqu’un attaquant détourne une session d’utilisateur authentifiée, de sorte que les instructions malveillantes semblent provenir du navigateur de cet utilisateur.
Dans le cas de cette dernière faille, l’attaquant n’a plus qu’à attirer un administrateur WordPress vers un site web malveillant contenant une charge virale XSS (Cross-Site Scripting).
Les sites web se défendent de différentes manières contre une attaque CSRF, mais la complexité de la tâche signifie que les attaquants pourront toujours trouver un contournement.
D’après le rapport :
WordPress n’effectue aucune validation CSRF lorsqu’un utilisateur publie un nouveau commentaire. Cela vient du fait que certaines fonctionnalités de WordPress, telles que les trackbacks et les pingbacks, seraient alors brisés en cas de validation. Cela signifie qu’un attaquant peut créer des commentaires aux noms d’utilisateurs de type administrateur, au niveau d’un blog WordPress, et ce via des attaques CSRF.
La séquence complète est quelque peu compliquée mais, si elle est véritablement lancée, ce serait une mauvaise nouvelle.
Simon Scannell de RIPS Tech a déclaré :
Dès que l’administrateur victime visite le site web malveillant, un exploit CSRF est exécuté sur le blog WordPress cible en arrière-plan, sans que la victime ne s’en aperçoive. L’exploit CSRF utilise alors de multiples failles logiques ainsi que des erreurs de nettoyage qui, lorsqu’elles sont combinées, entraînent l’exécution de code à distance et une prise de contrôle complète du site.
Quoi faire ?
La solution consiste à mettre à jour WordPress vers la version 5.1.1, sortie le 12 mars avec un correctif pour cette faille. Si la mise à jour automatique n’est pas activée, il s’agit toujours du chemin habituel : visitez Tableau de bord> Mises à jour et cliquez sur Mettre à jour.
Une solution plus extrême serait de désactiver complètement les commentaires tout en vous souvenant de vous déconnecter de l’administrateur WordPress avant de visiter d’autres sites web.
Vous pouvez voir un exemple similaire de ce type d’attaque dans le cas d’une récente une faille CSRF récemment corrigée et affectant Facebook.
Billet inspiré de WordPress 5.1.1 patches dangerous XSS vulnerability, sur Sophos nakedsecurity.