Les cybercriminels accordent une attention particulière aux failles de sécurité récemment découvertes dans plusieurs plugins WordPress populaires et ils ont commencé à cibler les sites Web qui en exécutent encore des versions vulnérables.
Selon BleepingComputer, au moins deux acteurs de la menace attaquent activement les versions non corrigées des plugins ThemeGrill Demo Importer, Profile Builder et Duplicator. Ce que ces trois plugins ont en commun, c'est qu'ils ont tous été révélés contenir un bogue de sécurité critique qui pourrait être exploité dans les rapports récents.
Les chercheurs estiment qu'il existe des centaines de milliers de Sites WordPress qui risquent actuellement d'être exploités car leurs administrateurs n'ont pas encore patché ces trois plugins.
L'un des acteurs de la menace, qui s'appelle tonyredball, exploite deux de ces plugins vulnérables pour obtenir un accès par porte dérobée. Tonyredball a été observé exploitant la vulnérabilité d'enregistrement d'administrateur dans Profile Builder en utilisant des demandes qui contenaient le nom d'utilisateur, l'e-mail et d'autres détails de profil du nouveau compte administrateur, selon les experts en sécurité de WordPress chez Defiant.
Cependant, les chercheurs ont également noté que tonyredball a lancé un certain nombre d'attaques qui profitent de la faille de suppression de la base de données dans les anciennes versions du plugin ThemeGrill Demo Importer.
Sommaire
Exploiter les plugins WordPress vulnérables
Un autre acteur de la menace exploitant des plugins WordPress vulnérables est identifié par Defiant comme « solarsalvador1234 '' en raison d'une adresse e-mail utilisée dans les demandes menant à l'exploitation.
En plus de cibler ThemeGrill Demo Importer et Profile Builder, cet acteur de la menace exploite également des failles non corrigées dans Duplicator, un plugin qui permet de cloner des sites Web et de les migrer vers d'autres emplacements.
Les versions de Duplicator inférieures à 1.3.28 se sont avérées contenir un bogue de sécurité qui permet aux utilisateurs non authentifiés de télécharger des fichiers arbitraires à partir des sites victimes. En exploitant le bogue, un attaquant peut récupérer le fichier de configuration d'un site (wp-config.php) où sont stockées les informations d'identification pour l'accès à la base de données. Cela permet à un acteur de la menace comme solarsalvador1234 d'établir un accès à long terme à un site compromis.
Selon les taux de mise à jour, Defiant estime qu'environ 800 000 sites pourraient toujours exécuter une version vulnérable du plugin Duplicator.
Si votre site WordPress exécute une ancienne version de ThemeGrill Demo Importer, Profile Builder ou Duplicator, il est fortement recommandé de mettre à jour vers la dernière version dès que possible pour éviter d'être victime de ce type d'attaques.
Via BleepingComputer
