Les pirates abusent d'un bug dans un plugin populaire • The Register

Une vulnérabilité critique dans un plugin WordPress populaire appelé WP File Manager a été repérée mardi et a été rapidement corrigée par les développeurs du plugin.

Mais la faille, qui permet des téléchargements de fichiers arbitraires et l'exécution de code à distance sur les sites Web WordPress, est déjà activement exploitée.

Les pirates abusent d'un bug dans un plugin populaire • The Register

La base de données de vulnérabilité WPScan WordPress, alertée du bogue par le fournisseur de services WordPress basé en Finlande Seravo, indique que plusieurs sites WordPress ont été compromis à la suite du trou zéro jour dans WP File Manager.

Selon Anthony Garand, le développeur de la menace Securi, un développeur de WP File Manager a renommé un fichier lors des tests locaux de la version 6.4, puis l'a ajouté accidentellement au projet. Le fichier, qui fait partie d'une bibliothèque open source appelée elFinder, avait une extension .php.dist qui a été changée en .php afin qu'il soit exécutable.

« Ce changement a permis à tout utilisateur non authentifié d'accéder directement à ce fichier et d'exécuter des commandes arbitraires dans la bibliothèque, y compris le téléchargement et la modification de fichiers, laissant finalement le site Web vulnérable à une prise de contrôle complète », explique Garand dans un article de blog.

Jerome Bruandet, PDG de NinTechNet, le groupe de sécurité Web basé en Thaïlande, a également publié un article sur le bogue et a déclaré qu'il était au courant des tentatives d'exploitation de la vulnérabilité.

« Il est activement exploité car nous voyons encore aujourd'hui de nombreuses tentatives pour exploiter la vulnérabilité », a-t-il déclaré dans un courrier électronique adressé à The Register. « De nombreux sites Web ont été attaqués mais nous ne pouvons pas encore savoir combien car certains utilisateurs ne remarqueront pas qu'ils ont été piratés avant plusieurs jours. »

Une vuln sévère dans le plugin WordPress Profile Builder remettrait volontiers à n’importe qui les clés de votre royaume

Bruandet a déclaré que les attaques avaient été détectées rapidement, ce qui a permis de limiter les dégâts, mais a ajouté que le bogue est critique car le script vulnérable est accessible directement, sans charger WordPress et même si le plugin a été désactivé.

WP File Manager a plus de 700000 installations actives et les administrateurs WordPress sont invités à se mettre à jour immédiatement.

La vulnérabilité affecte les versions 6.4 à 6.8. Le patch est arrivé en version 6.9.

« La mise à jour peut être effectuée automatiquement dans WordPress, sinon l'utilisateur doit choisir de l'installer », a expliqué Bruandet. « L'installation du plugin effacera le dossier dans lequel la porte dérobée est téléchargée. Mais les pirates informatiques infectent également certains fichiers principaux de WordPress et ajoutent du code pour contrôler le site à partir d'un robot Telegram. »

Il a déclaré que forcer une réinstallation de WordPress à partir du menu Mises à jour dans le tableau de bord de l'application devrait purger ces fichiers. ®

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,