Easy WP SMTP, qui compte plus de 300 000 installations, est commercialisé sous la forme d’un plugin permettant aux sites WordPress de router leurs emails en masse via un serveur SMTP réputé, afin de s’assurer qu’ils ne tomberont pas dans des spamholes au niveau de fournisseurs de messagerie malveillants.
Malheureusement, la version 1.3.9 du plugin Easy WP SMTP est vulnérable vis-à-vis d’une faille de sécurité qui permet aux attaquants de configurer des comptes d’abonnés ordinaires avec des pouvoirs administrateur masqués ou des sites de piratage pour mettre en oeuvre des redirections malveillantes.
Selon Defiant (anciennement WordFence), développeur de pare-feu pour WordPress, le problème vient de la fonctionnalité d’importation/exportation ajoutée à la version 1.3.9 :
Le nouveau code réside dans le hook admin_init du plugin Easy WP SMTP, qui s’exécute dans les scripts wp-admin/ tels que admin-ajax.php et admin-post.php.
Cette opération ne vérifie pas la capacité de l’utilisateur, signifiant ainsi qu’un utilisateur connecté, y compris un abonné, peut la déclencher.
Le changelog du plugin n’indique pas depuis combien de temps la version 1.3.9 est utilisée, mais une deuxième entreprise qui édite des pare-feux, Ninja Technologies, a déclaré avoir détecté des attaques qui exploitaient cette vulnérabilité “depuis au moins le 15 mars”.
Une campagne semble exploiter cette vulnérabilité pour récupérer les privilèges administrateur, tandis que la seconde envoie les visiteurs sur des sites malveillants avant …
d’injecter de balises <script> malveillantes dans tous les fichiers PHP du site affecté avec la séquence “index” présente dans leur nom. Cela affecte évidemment les fichiers nommés index.php, mais aussi des fichiers tels que class-link-reindex-post-service.php, présent dans le plug-in SEO de Yoast.
Est-ce que cette faille est largement exploitée ?
La dernière douzaine de commentaires au niveau du support du plugin Easy WP SMTP proviennent d’utilisateurs qui affirment que leurs sites ont été ciblés. Bien que ces commentaires ne puissent pas être vérifiés, l’un d’entre eux a déclaré avoir perdu “10 sites clients en 3 jours”.
Quoi faire ?
Ce que les administrateurs vont faire à présent dépendra si oui ou non ils croient que leur site a été ciblé.
Defiant propose une longue liste d’indicateurs de compromission (IoC) possibles sur son blog, mais si vous n’en voyez aucun, changez d’abord les mots de passe WordPress et SMTP avant d’appliquer la mise à jour de manière urgente vers la version 1.3.9.1.
Si vous pensez que votre site a peut-être été ciblé, il est recommandé de le restaurer tout d’abord à partir d’une sauvegarde avant piratage, et ce avant d’installer la mise à jour et de modifier les mots de passe.
Si aucune sauvegarde n’est disponible, les développeurs du plugin donnent des instructions pour nettoyer manuellement un site avant d’activer les sauvegardes automatiques ou planifiées comme défense future.
La semaine dernière, les utilisateurs du plugin Abandoned Cart pour WooCommerce ont été invités à lancer une mise à jour urgente. La morale de ces histoires est que la mise à jour rigoureuse des plugins est devenue cruciale pour la sécurisation des sites web.
Billet inspiré de Update now! WordPress hackers target Easy WP SMTP plugin, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.