Une vulnérabilité zero-day trouvée dans un plugin WordPress premium est activement exploitée dans la nature, disent les chercheurs, exhortant les utilisateurs à la supprimer de leurs sites Web jusqu’à ce qu’un correctif soit publié.
Plugin de sécurité WordPress (s’ouvre dans un nouvel onglet) WordFence a découvert une faille dans WPGateway, un plugin premium aidant les administrateurs à gérer d’autres plugins et thèmes WordPress à partir d’un seul tableau de bord.
Selon les chercheurs, la faille est identifiée comme CVE-2022-3180 et porte un score de gravité de 9,8. Il permet aux acteurs de la menace de créer un utilisateur administrateur sur la plate-forme, ce qui signifie qu’ils auraient la possibilité de prendre en charge l’intégralité du site Web s’ils le souhaitent.
Des millions d’attaques
« Une partie de la fonctionnalité du plugin expose une vulnérabilité qui permet à des attaquants non authentifiés d’insérer un administrateur malveillant », a déclaré Ram Gall, chercheur de Wordfence.
Wordfence a ajouté qu’il avait bloqué avec succès plus de 4,6 millions d’attaques, contre plus de 280 000 sites, au cours du seul mois dernier. Cela signifie également que le nombre de sites Web attaqués (et éventuellement compromis) est probablement beaucoup, beaucoup plus important.
Un correctif pour la faille n’est pas encore disponible, ont déclaré les chercheurs, et il n’y a pas de solution de contournement. La seule façon de rester en sécurité, pour le moment, est de supprimer complètement le plugin du site Web et d’attendre l’arrivée du correctif, ont souligné les chercheurs.
Les webmasters à la recherche d’indicateurs de compromission doivent rechercher sur leurs sites des comptes d’administrateur nommés « rangex ». De plus, ils doivent rechercher les requêtes à « //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 » dans les journaux d’accès, car c’est le signe d’une tentative de violation. Ce signe, cependant, ne signifie pas nécessairement qu’il a réussi.
Les autres détails sont rares pour le moment, étant donné que la faille est activement exploitée et que le correctif n’est pas encore disponible.
WordPress (s’ouvre dans un nouvel onglet) est le constructeur de sites Web le plus populaire au monde et, à ce titre, est constamment attaqué par des cybercriminels. Alors que la plateforme elle-même est généralement considérée comme sûre, ses plugins, qui se comptent par centaines de milliers, sont souvent le maillon faible qui conduit à la compromission.
Via : The Hacker News (s’ouvre dans un nouvel onglet)