Gestion des risques liés aux tiers
,
Sécurité des applications
,
Gouvernance et gestion des risques

La dernière faille a un score CVSS de 9,9, pourrait permettre l’exécution de code à distance

(Source : Bluehost)

À peine les administrateurs de sites Web fonctionnant sur WordPress avaient-ils été corrigés pour six récents vulnérabilités de gravité moyenne à élevée que l’annonce d’une attaque de la chaîne d’approvisionnement affectant 93 thèmes et plug-ins AccessPress, donnant un accès complet aux pirates via un code de porte dérobée injecté.

Voir également: Discussion en direct demain | Le bilan de la prolifération des identités dans l’entreprise complexe

Et WordPress n’est pas encore sorti d’affaire. Mardi, Jérôme Bruandet, chercheur à la société de sécurité WordPress Patchstack, a découvert qu’une nouvelle vulnérabilité avec un score CVSS de 9,9 affecte un autre plug-in WordPress, AdSanity.

La vulnérabilité n’a pas encore reçu de code Common Vulnerabilities and Exposures – ou CVE – par le National Institute of Standards and Technology. Bruandet, dans le Blog de la pile de patchsindique que la nouvelle vulnérabilité critique pourrait permettre à un utilisateur sans privilège d’accès approprié d’effectuer des téléchargements de fichiers arbitraires, d’exécuter du code à distance et de stocker des attaques de script intersite.

La dernière faille du plug-in WordPress est une contrôle d’accès cassé vulnérabilité – une faille assez courante trouvée dans 94% des applications, avec un taux d’incidence de 3,81%, selon une évaluation menée par l’Open Web Application Security Project.

Vulnérabilité critique dans le plug-in AdSanity

Bruandet indique que lors de la création d’une annonce, le plug-in permet le téléchargement d’un fichier ZIP via un processus géré par l’action Asynchronous JavaScript and XML, ou AJAX, – une méthode utilisée pour créer des pages Web rapides et dynamiques – qui charge le « ajax_upload  » une fonction.

La fonction AJAX est ensuite utilisée pour télécharger et extraire le contenu d’une archive ZIP dans un dossier particulier. Mais la fonction utilise un nonce – un numéro qui authentifie les protocoles attachés aux communications et empêche donc les pirates de mener des attaques par relecture – comme mesure de sécurité.

Le nonce est accessible à tout utilisateur disposant de faibles privilèges, tel qu’un contributeur, et peut être utilisé pour télécharger des fichiers. Bruandet dit que si un blog particulier a un fichier « .htaccess » pour empêcher l’exécution de code PHP, l’attaquant peut « facilement outrepasser » cette protection en téléchargeant un autre fichier « .htaccess ».

L’auteur de la menace peut également télécharger des fichiers avec du code JavaScript et cibler les administrateurs qui examinent la publication.

Bruandet dit que la vulnérabilité a été signalée à AdSanity le 13 janvier et qu’une nouvelle version, 1.8.2, a été publiée le lendemain. Bien que la nouvelle version ne permette pas aux contributeurs de télécharger des données, Bruandet indique que les utilisateurs disposant d’un privilège d’auteur et supérieur peuvent toujours le faire.

Attaque de la chaîne d’approvisionnement affectée 93 plugins WordPress, thèmes

La semaine dernière, les chercheurs de WordPress spécialiste de la sécurité Jet pack a découvert qu’un attaquant externe avait piraté AccessPress, un auteur populaire de thèmes et de plug-ins WordPress, pour infecter les utilisateurs avec une version du logiciel qui permettait aux pirates d’accéder par une porte dérobée aux sites Web des utilisateurs.

Les chercheurs ont découvert que la vulnérabilité d’accès par porte dérobée affecte 40 thèmes WordPress et 53 plug-ins WordPress.

Sur la base de la manière dont les extensions concernées ont été compromises, les chercheurs de Jetpack soupçonnent qu’un attaquant externe a piraté le site Web AccessPress Themes et utilisé ses extensions pour infecter davantage de sites au cours de la première moitié de septembre 2021.


Instantané montrant le shell Web (Source : blog Jetpack)

Selon Jetpack, les extensions corrompues contiennent un compte-gouttes pour un shell Web dans le répertoire principal du plug-in ou du thème, donnant aux attaquants un accès complet aux sites infectés.

Lors de l’exécution, le programme installe un shell Web basé sur des cookies. Comme le shell Web installé porte discrètement le nom de « wp_is_mobile_fix() », il ne se démarque pas de quiconque parcourt le fichier PHP.

Les chercheurs disent que si la chaîne de l’agent utilisateur dans la requête est « wp_is_mobile », le shell Web est déclenché et une requête contenant huit cookies spécifiques est effectuée. Après avoir assemblé ces cookies, le shell Web exécute la charge utile.

Une fois installé, le compte-gouttes signale l’emplacement du réseau, le nom d’utilisateur ou d’autres informations vitales, en plus des arguments de requête utilisés par le thème.

Une fois la demande traitée et les informations extraites, le fichier source du dropper est supprimé pour éviter d’être détecté.

Les horodatages des plug-ins compromis révèlent que la compromission a eu lieu entre le 6 et le 7 septembre, tandis que les thèmes ont été compromis le 22 septembre.

Correction et meilleures pratiques

Pour la vulnérabilité AccessPress, Jetpack indique dans son blog que si les utilisateurs installent des thèmes à partir d’une source autre que WordPress.org, ils doivent passer à une version plus sûre. Ces versions sont répertoriées dans le billet de blog.

Mais les chercheurs avertissent que la mise à niveau vers une version plus sûre ne supprimera pas la porte dérobée du système de l’utilisateur. Les utilisateurs devront réinstaller une version propre et mise à jour de WordPress pour corriger les modifications apportées au fichier de code lors de l’installation de la porte dérobée.

Le blog de Jetpack partage également une règle YARA qui peut être utilisée pour vérifier si un site Web a été affecté. Le code, dit-il, peut détecter le compte-gouttes ainsi que le shell Web installé.


Règle YARA pour détecter les sites Web infectés (Source : blog Jetpack)

La dernière vulnérabilité de plug-in dans AdSanity est la huitième faille liée à WordPress découverte ce mois-ci. En moyenne, deux vulnérabilités liées à WordPress sont découvertes chaque semaine depuis le 1er janvier. Avec un score CVSS de 9,9, la faille AdSanity est la plus critique des huit vulnérabilités découvertes cette année.

Dans le sillage de la six vulnérabilités découvert dans WordPress et ses plug-ins la semaine dernière, ISMG s’est entretenu avec des experts en sécurité qui ont déclaré que la possibilité d’un exploit associée à l’adoption généralisée de WordPress en tant qu’outil de gestion de contenu – il est utilisé par 37 % de tous les sites Internet – constitue les failles une préoccupation sérieuse.

Certaines des meilleures pratiques suggérées par les experts en sécurité sont :

  • Source plug-ins ou modèles provenant de sources fiables uniquement.
  • Autoriser les connexions uniquement via TLSv1.2 ou TLSv1.3.
  • Créez et fournissez des solutions sécurisées par défaut et assurez-vous que les fournisseurs font de même.
  • Exécutez des audits de sécurité de WordPress et de ses plug-ins au moins une fois par trimestre.
  • Investissez dans la sécurité de WordPress pour surveiller, signaler et bloquer les menaces.
  • Isolez les instances WordPress de toutes les autres données pour atténuer la perte d’informations.
  • Effectuez des sauvegardes régulières et stockez les données ailleurs.
  • Déconnectez-vous des comptes WordPress lorsque vous ne les utilisez pas.
  • Portez une attention particulière à la maintenance non seulement du noyau WordPress, mais de toutes les bibliothèques et plug-ins de toute plate-forme ou site open source.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.