Une attaque active cible actuellement plus d’un million de sites WordPress potentiellement vulnérables, ont averti des chercheurs en sécurité.
L’attaque a été découverte par l’équipe de renseignement sur les menaces de WordFence alors qu’elle enquêtait sur ce qui semblait être une « augmentation drastique » des attaques ciblant des vulnérabilités qui permettent aux attaquants de mettre à jour des options arbitraires sur des sites vulnérables.
En enquêtant sur la tendance, les chercheurs ont découvert qu’au cours des 36 dernières heures, leurs outils avaient bloqué plus de 13,7 millions d’attaques ciblant quatre plugins WordPress, ainsi que plusieurs thèmes Epsilon Framework. Ces attaques provenaient de 16 000 adresses IP différentes. Au total, plus de 1,6 million de sites ont été ciblés.
Sommaire
Plugins attaqués
Les plugins – Kiwi Social Share, WordPress Automatic et Pinterest Automatic, ainsi que PublishPress Capabilities, ont tous été ciblés avec la mise à jour des options arbitraires non authentifiées, ont déclaré les chercheurs.
Les vulnérabilités de ces plugins ont été récemment corrigées (certaines en août 2021, d’autres en novembre et décembre), ce qui a amené les chercheurs à conclure que les correctifs récents pouvaient avoir incité des acteurs malveillants à agir. Après tout, il y avait apparemment « très peu » d’activités d’attaquants ciblant l’une de ces vulnérabilités avant le 8 décembre.
En outre, les escrocs ciblaient également une vulnérabilité d’injection de fonction dans divers thèmes Epsilon Framework, car ils cherchaient à mettre à jour des options arbitraires.
Mise à jour des versions vulnérables
Dans la plupart des cas, ont expliqué les chercheurs, les attaquants mettent à jour l’option users_can_register sur enabled et définissent l’option default_role sur « administrator ». Cela leur permet d’enregistrer un compte administrateur sur l’un de ces sites et de le reprendre.
Ceux qui utilisent l’un des plugins mentionnés ci-dessus sont invités à les mettre à jour immédiatement vers les dernières versions. « La simple mise à jour des plugins et des thèmes garantira que votre site reste à l’abri des compromis contre les exploits ciblant ces vulnérabilités », a conclu WordFence.
Voici la liste des versions de plugins vulnérables : PublishPress Capabilities 2.3, Kiwi Social Plugin 2.0.10, Pinterest Automatic 4.14.3, WordPress Automatic 3.53.2.
Quant aux thèmes Epsilon Framework, ce sont les versions vulnérables : Shapely 1.2.8, NewsMag 2.4.1, Activello 1.4.1, Illdy 2.1.6, Allegiant 1.2.5, Newspaper X 1.3.1, Pixova Lite 2.0.6, Brilliance 1.2.9, MedZone Lite 1.2.5, Regina Lite 2.0.5, Transcend 1.1.9, Affluent 1.1.0, Bonkers 1.0.5, Antreas 1.0.6. Pour NatureMag Lite, il n’y a toujours pas de mot de correctif, c’est pourquoi WordFence recommande aux utilisateurs de le désinstaller complètement jusqu’à ce que le problème soit résolu.
Les vulnérabilités facilement automatisées, telles que cette mise à jour des options arbitraires non authentifiées, ou la susceptibilité aux attaques DDoS, sont une aubaine pour les acteurs malveillants, c’est pourquoi il est conseillé aux utilisateurs d’essayer d’automatiser autant que possible les analyses de vulnérabilité des sites Web.
