Les versions 3.0.1 et infrieures du plug-in WordPress « Kaswara Modern WPBakery Page Builder » souffriraient d’une vulnrabilit de tlchargement de fichier arbitraire. Son exploitation permettrait aux criminels de tlcharger des fichiers PHP et JavaScript malveillants et mme de prendre le contrle complet du site Web d’une organisation. La vulnrabilit aurait t signale au dveloppeur du module depuis plus d’un an, mais ce dernier ne l’a jamais corrige et des pirates auraient balay prs de 1,6 million de sites Web pour tenter de l’exploiter.
WordPress est connu pour tre le systme de gestion de contenu (CMS) le plus utilis au monde, mais il est galement connu pour tre le CMS le plus cibl par les pirates. L’quipe Wordfence de la socit de cyberscurit WordPress Defiant a mis en garde la semaine dernire contre une augmentation des attaques ciblant une vulnrabilit non corrige dans le module complmentaire Kaswara du plug-in WordPress WPBakery Page Builder. Ce bogue de scurit de gravit critique permet un attaquant non authentifi de tlcharger des fichiers malveillants sur un site vulnrable, ce qui peut permettre l’excution de code distance.
Divulgue pour la premire fois en avril 2021, la faille a t rpertorie sous le nom de CVE-2021-24284 avec un score CVSS de 10. Selon Wordfence, un attaquant peut exploiter cette faille pour injecter du code JavaScript malveillant dans n’importe quel fichier de l’installation WordPress et prendre compltement le contrle d’un site vulnrable. Lorsqu’elle a t dcouverte, la faille tait activement exploite, et Wordfence a averti les administrateurs de sites Web WordPress que le plug-in avait t ferm sans correctif, les exhortant le supprimer immdiatement. Plus d’un aprs, entre 4 000 et 8 000 sites continueraient d’utiliser le plug-in.
Les dveloppeurs du logiciel n’ont jamais corrig le bogue, ce qui signifie que toutes les versions sont susceptibles d’tre attaques. L’quipe Wordfence a dclar avoir constat une augmentation massive du nombre de tentatives d’attaques visant la vulnrabilit au cours des deux dernires semaines, avec une moyenne de 440 000 par jour. Les attaques proviendraient de 10 215 adresses IP, dont cinq sont responsables de la majorit des attaques. Les chasseurs de bogues estiment que si 1 599 852 sites uniques ont t cibls, la grande majorit d’entre eux ne sont pas impacts, tant donn qu’ils n’utilisent pas le plug-in.
La majorit des attaques que nous avons vues envoient une requte POST « /wp-admin/admin-ajax.php » en utilisant l’action AJAX « uploadFontIcon » prsente dans le plug-in pour tlcharger un fichier sur le site Web impact. Vos journaux peuvent afficher la chane de requte suivante pour ces vnements : « /wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1 » , note Wordfence. La plupart des attaques tenteraient de tlcharger une archive .ZIP contenant un fichier PHP malveillant qui est extrait dans le rpertoire « /wp-content/uploads/kaswara/icons/ », ce qui permet aux attaquants de dployer des charges utiles supplmentaires.
Si vous tes de ceux qui continuent utiliser une des versions dfectueuses du plug-in, c’est le moment de les dbrancher. Nous recommandons fortement de supprimer compltement le plug-in Kaswara Modern WPBakery Page Builder ds que possible et de trouver une alternative, car il est peu probable que le plug-in reoive un jour un correctif pour cette vulnrabilit critique , a averti Wordfence. En outre, mme si vous n’tes pas directement concern, n’importe lequel de ces sites Web vulnrables pourrait tre compromis et modifi pour jouer un rle dans d’autres attaques, comme une campagne d’hameonnage ou l’hbergement de logiciels malveillants.
Ainsi, d’une certaine manire, cela dmontre comment mme des plug-ins mineurs peuvent alimenter une cybercriminalit plus large sur Internet. Par ailleurs, les chercheurs en scurit ont galement remarqu l’utilisation du cheval de Troie NDSW dans certaines de ces attaques. Ce cheval de Troie peut injecter du code dans des fichiers JavaScript lgitimes et peut tre utilis pour rediriger les utilisateurs vers des domaines malveillants.
Source : L’quipe Wordfence
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de cette vulnrabilit qui affectent des milliers de sites Web WordPress ?
Voir aussi