Getty Images
Les pirates attaquent les sites Web utilisant un plugin WordPress de premier plan avec des millions de tentatives pour exploiter une vulnérabilité de haute gravité qui permet une prise de contrôle complète, ont déclaré les chercheurs.
La vulnérabilité réside dans WordPress Automatic, un plugin comptant plus de 38 000 clients payants. Les sites Web exécutant le système de gestion de contenu WordPress l’utilisent pour incorporer du contenu provenant d’autres sites. Des chercheurs de la société de sécurité Patchstack ont révélé le mois dernier que les versions 3.92.0 et inférieures de WP Automatic présentaient une vulnérabilité avec un indice de gravité de 9,9 sur 10 possibles. Le développeur du plugin, ValvePress, a publié silencieusement un correctif disponible dans les versions 3.92. 1 et au-delà.
Les chercheurs ont classé la faille, identifiée comme CVE-2024-27956, comme une injection SQL, une classe de vulnérabilité qui découle de l’échec d’une application Web à interroger correctement les bases de données principales. La syntaxe SQL utilise des apostrophes pour indiquer le début et la fin d’une chaîne de données. En saisissant des chaînes avec des apostrophes spécialement positionnées dans les champs vulnérables du site Web, les attaquants peuvent exécuter du code qui effectue diverses actions sensibles, notamment renvoyer des données confidentielles, accorder des privilèges administratifs au système ou perturber le fonctionnement de l’application Web.
« Cette vulnérabilité est très dangereuse et devrait être exploitée massivement », ont écrit les chercheurs de Patchstack le 13 mars.
Une autre société de sécurité Web, WPScan, a déclaré jeudi avoir enregistré plus de 5,5 millions de tentatives d’exploitation de la vulnérabilité depuis la divulgation du 13 mars par Patchstack. Selon WPScan, les tentatives ont commencé lentement et ont culminé le 31 mars. La société n’a pas précisé combien de ces tentatives ont réussi.
WPScan a déclaré que CVE-2024-27596 permet aux visiteurs de sites Web non authentifiés de créer des comptes d’utilisateurs de niveau administrateur, de télécharger des fichiers malveillants et de prendre le contrôle total des sites concernés. La vulnérabilité, qui réside dans la manière dont le plugin gère l’authentification des utilisateurs, permet aux attaquants de contourner le processus d’authentification normal et d’injecter du code SQL qui leur accorde des privilèges système élevés. À partir de là, ils peuvent télécharger et exécuter des charges utiles malveillantes qui renomment les fichiers sensibles pour empêcher le propriétaire du site ou d’autres pirates de contrôler le site piraté.
Les attaques réussies suivent généralement ce processus :
- Injection SQL (SQLi) : Les attaquants exploitent la vulnérabilité SQLi dans le plugin WP‑Automatic pour exécuter des requêtes de base de données non autorisées.
- Création d’un utilisateur administrateur : Grâce à la possibilité d’exécuter des requêtes SQL arbitraires, les attaquants peuvent créer de nouveaux comptes d’utilisateurs de niveau administrateur dans WordPress.
- Téléchargement de logiciels malveillants : Une fois qu’un compte de niveau administrateur est créé, les attaquants peuvent télécharger des fichiers malveillants, généralement des shells Web ou des portes dérobées, sur le serveur du site Web compromis.
- Renommer le fichier : L’attaquant peut renommer le fichier WP‑Automatic vulnérable, pour s’assurer que lui seul peut l’exploiter.
Les chercheurs de WPScan ont expliqué :
Une fois qu’un site WordPress est compromis, les attaquants assurent la longévité de leur accès en créant des portes dérobées et en obscurcissant le code. Pour échapper à la détection et maintenir l’accès, les attaquants peuvent également renommer le fichier WP-Automatic vulnérable, ce qui rend difficile pour les propriétaires de sites Web ou les outils de sécurité d’identifier ou de bloquer le problème. Il convient de mentionner que cela peut également être un moyen que les attaquants trouvent pour empêcher d’autres acteurs malveillants d’exploiter avec succès leurs sites déjà compromis. De plus, étant donné que l’attaquant peut utiliser ses privilèges élevés acquis pour installer des plugins et des thèmes sur le site, nous avons remarqué que, dans la plupart des sites compromis, les acteurs malveillants ont installé des plugins qui leur ont permis de télécharger des fichiers ou de modifier du code.
Les attaques ont commencé peu après le 13 mars, 15 jours après que ValvePress a publié la version 3.92.1 sans mentionner le correctif critique dans les notes de version. Les représentants de ValvePress n’ont pas immédiatement répondu à un message demandant une explication.
Alors que les chercheurs de Patchstack et WPScan classent CVE-2024-27956 comme injection SQL, un développeur expérimenté a déclaré que sa lecture de la vulnérabilité est qu’il s’agit soit d’une autorisation inappropriée (CWE-285), soit d’une sous-catégorie de contrôle d’accès inapproprié (CWE-284).
« Selon Patchstack.com, le programme est censé pour recevoir et exécuter une requête SQL, mais uniquement d’un utilisateur autorisé », a écrit le développeur, qui n’a pas souhaité utiliser son nom, dans une interview en ligne. « La vulnérabilité réside dans la façon dont il vérifie les informations d’identification de l’utilisateur avant d’exécuter la requête, permettant à un attaquant de contourner l’autorisation. L’injection SQL se produit lorsque l’attaquant intègre du code SQL dans ce qui était censé être uniquement des données, et ce n’est pas le cas ici.
Quelle que soit la classification, la vulnérabilité est aussi grave que possible. Les utilisateurs doivent mettre à jour le plugin immédiatement. Ils doivent également analyser soigneusement leurs serveurs à la recherche de signes d’exploitation à l’aide des indicateurs de données de compromission fournis dans la publication WPScan liée ci-dessus.