Une grave vulnérabilité présente dans des dizaines de milliers de sites Web WordPress est exploitée à l’état sauvage, ont averti les chercheurs.
Les spécialistes de la sécurité de l’équipe Wordfence Threat Intelligence ont récemment découvert une vulnérabilité d’exécution de code à distance (RCE) dans un plugin pour la plate-forme CMS populaire, appelée Tatsu Builder.
La vulnérabilité est identifiée comme CVE-2021-25094 et a été repérée pour la première fois fin mars de cette année. Il est présent dans les versions gratuites et premium du plugin WordPress.
Déploiement de logiciels malveillants
Les attaquants utilisent la faille du plugin WordPress pour déployer un compte-gouttes, qui installe ensuite des logiciels malveillants supplémentaires. Le compte-gouttes est généralement placé dans un sous-dossier aléatoire dans wp-content/uploads/typehub/custom/.
Le nom du fichier commence par un point, indiquant un fichier caché. Les chercheurs disent que cela est nécessaire pour exploiter la vulnérabilité, car elle profite d’une condition de concurrence.
Étant donné que le plugin n’est pas répertorié sur le référentiel WordPress.org, Wordfence dit qu’il est très difficile d’identifier exactement combien de sites Web l’ont installé. Pourtant, la société estime qu’entre 20 000 et 50 000 sites Web utilisent Tatsu Builder.
Même si les administrateurs ont été avertis de la faille il y a une dizaine de jours, Wordfence estime qu’au moins un quart restent vulnérables, ce qui signifierait qu’entre 5 000 et 12 500 sites Web pourraient encore être attaqués.
Les attaques, qui ont commencé il y a une semaine, sont toujours en cours, disent les chercheurs, ajoutant que le volume d’attaques a atteint un sommet et a diminué depuis.
La plupart d’entre eux sont des attaques de sondage, qui cherchent à déterminer si le site Web est vulnérable ou non. Apparemment, la plupart des attaques provenaient de seulement trois adresses IP différentes.
Les administrateurs curieux de savoir s’ils ont été ciblés doivent vérifier leurs journaux pour la chaîne de requête suivante : /wp-admin/admin-ajax.php?action=add_custom_font
Ceux qui ont installé le plugin Tatsu Builder sont invités à mettre à jour la dernière version (3.3.13) dès que possible.