Deux failles zero-day dans des plugins WordPress utilisées par deux groupes de hackers

Deux failles zero-day dans des plugins WordPress utilisées par deux groupes de hackers

Technologie : Les plugins Easy WP SMTP et Social Warfare sont touchés par des failles zero-day exploitées. Voici comment faire pour parer au plus pressé.

Deux sociétés de cybersécurité fournissant des plugins de pare-feu pour les sites WordPress ont détecté des attaques utilisant une vulnérabilité de type "zero-day" dans un plugin WordPress très populaire.

Au moins deux groupes de pirates ont été observés en train d'utiliser une faille zero day pour changer les paramètres d'un site, créer des comptes d'administration malveillants pour les utiliser comme portes dérobées, et ensuite détourner le trafic des sites piratés.

A noter que suite à la publication de ces informations, il apparait qu'une seconde faille zero day est utilisée par des pirates pour prendre le contrôle de sites WordPress. Cette seconde faille zero-day a un impact sur le plugin Social Warfare, que l'équipe WordPress avait temporairement supprimé du référentiel principal des plugins WordPress, en attendant une mise à jour de son développeur.

Une faille zero day dans un plugin exploité avant la publication d'un patch

La faille zero day utilisée par ces deux groupes est présente dans le plugin WordPress "Easy WP SMTP", un plugin qui compte plus de 300.000 installations actives. La fonctionnalité principale du plugin est de permettre aux propriétaires de sites de configurer les paramètres SMTP des emails sortants de leurs serveurs.

Les attaques utilisant cette faille zero day ont été repérées pour la première fois vendredi dernier, le 15 mars, par NinTechNet, la société derrière le pare-feu Ninja pour WordPress. Le problème a été signalé à l'auteur du plugin, qui a corrigé la faille zero-day le dimanche 17 mars, avec la sortie de la v1.3.9.1.

Les attaques ne se sont pas arrêtées cependant, elles se sont poursuivies tout au long de la semaine, les pirates essayant de prendre le contrôle d'autant de sites qu'ils le pouvaient avant que les propriétaires de sites n'appliquent le patch.

Comment les attaques se sont déroulées

Defiant, la société de cybersécurité qui gère le pare-feu Wordfence WordPress, a déclaré qu'elle continuait à détecter les attaques même après la publication du patch. Dans un rapport publié plus tôt aujourd'hui, l'entreprise a expliqué comment les deux groupes de pirates informatiques fonctionnaient.

Selon Defiant, les attaques exploitent une fonctionnalité d'exportation/importation de paramètres qui a été ajoutée au plugin Easy WP SMTP lors de la version 1.3.9. Selon Defiant, les pirates ont trouvé dans cette nouvelle fonctionnalité d'import/export une possibilité de modifier les paramètres généraux d'un site, et pas seulement ceux liés au plugin...

Lire la suite