Le premier plugin vulnérable s’appelle InfiniteWP Client de RevMakx, un outil qui permet aux administrateurs de gérer plusieurs sites WordPress à partir de la même interface.
Le second se nomme WP Time Capsule, un outil de sauvegarde et de staging du site.
L’urgence vient du nombre de sites utilisant ces outils : à savoir entre 300 000 et 500 000 pour InfiniteWP, et 20 000 ou plus pour WP Time Capsule, donc si vous avez l’un de ces plugins WordPress, corrigez-les dès que possible !
Selon la société de sécurité WebARX, qui a signalé les vulnérabilités le 7 janvier 2020, les deux bugs permettent aux attaquants de se connecter aux comptes administrateur et ce sans mot de passe.
Le contournement concernant InfiniteWP a été trouvé dans la fonction iwp_mmb_set_request, utilisée pour vérifier si l’utilisateur entreprend une action autorisée.
Deux actions qui permettent cela sont readd_site et add_site, mais aucune n’implémente une vérification d’autorisation, signifiant ainsi qu’un attaquant peut créer une requête malveillante :
Tout ce que nous devons savoir, c’est le nom d’utilisateur d’un administrateur sur le site. Une fois la demande envoyée, vous serez automatiquement connecté en tant qu’utilisateur.
Une erreur de logique encore plus simple dans WP Time Capsule produit un résultat similaire : cette fois, tout ce que vous avez à faire est d’inclure la chaîne de caractères IWP_JSON_PREFIX dans la demande envoyée au serveur WordPress.
Quoi faire ?
La bonne nouvelle est que le développeur a corrigé le problème dans la journée après en avoir été informé, bien que de nombreux sites utilisant InfiniteWP n’aient pas encore installé la mise à jour.
Pour InfiniteWP, la version qui corrige la faille est la v1.9.4.5, signifiant ainsi que toutes les versions jusqu’à et incluant la v1.9.4.4 sont vulnérables.
Pour WP Time Capsule, le correctif est dans v1.21.16, toutes les versions jusqu’à et incluant v1.21.15 étant vulnérables.
La mise à jour est plus facilement réalisée à partir de l’onglet Plugins dans le tableau de bord WordPress. Vous pouvez y voir quels plugins ont des mises à jour disponibles, après quoi il suffit d’appuyer sur Mettre à jour maintenant pour installer les nouvelles versions.
Conseils pour gérer les plugins WordPress :
- Minimisez le nombre de plugins que vous possédez. Supprimez toujours les plugins WordPress si vous ne les utilisez plus. Gardez votre surface d’attaque aussi petite que possible.
- Gardez vos plugins à jour. Un logiciel de blog tel que WordPress peut se maintenir à jour lui-même, mais par contre vous devez vous occuper vous-même des plugins.
- Débarrassez-vous des plugins qui ne sont plus entretenus et mis à jour par leurs développeurs. Ne conservez pas des plugins WordPress de type “abandonware“, car ils ne recevront jamais de correctifs de sécurité.
- Sachez ce que vous devez rechercher dans vos logs. Sachez où aller pour rechercher un enregistrement concernant les activités de votre serveur web, de votre logiciel de blog et de vos plugins. Les attaques se détectent souvent facilement et de manière anticipée si vous savez quoi chercher et si vous le faites régulièrement.
Billet inspiré de Update now! Popular WordPress plugins have password bypass flaws, sur Sophos nakedsecurity.