Faille dans le plugin WordPress sur le thème RGPD utilisé pour détourner des sites Web

article

Une faille de sécurité dans un plugin WordPress sur le thème RGPD a été utilisée par les pirates pour détourner des sites Web, comme indiqué dans les rapports.


Un article de blog de Defiant, une société spécialisée dans la sécurité WordPress, traite en détail de cette question relative au plugin populaire WP GDPR Compliance.


Tomáš Foltýn, rédacteur en charge de la sécurité chez ESET, a également abordé la question dans un article de blog, qui a déclaré: «Les attaquants exploitent une faille de sécurité dans un plugin de conformité RGPD pour WordPress afin de prendre le contrôle de sites Web vulnérables, selon Defiant. , qui fabrique des plugins de sécurité Wordfence pour la plate-forme de publication Web. ”


Le plugin avait publié une mise à jour, corrigeant les vulnérabilités, et il était conseillé aux utilisateurs de passer à la version 1.4.3. L'article de blog Defiant Wordfence se lit comme suit: «Tous les sites utilisant ce plugin doivent en faire une priorité immédiate de la mise à jour vers la dernière version ou de la désactiver et de la supprimer si les mises à jour sont impossibles.»


Le plugin, utilisé par plus de 100 000 sites Web cherchant à se conformer au RGPD (Règlement général sur la protection des données) de l'Union européenne, a été extrait du référentiel de plugins WordPress après la détection de la faille et l'annonce de la révélation. Ensuite, il a été rapidement rétabli avec la publication d’une version améliorée; cette version avait corrigé les problèmes.


Les pirates ont exploité le problème pour compromettre les sites Web vulnérables pendant environ trois semaines avant qu’il soit corrigé. Les experts soulignent que le problème a permis aux pirates informatiques de détourner des sites Web et de les utiliser également pour d'autres activités malveillantes.


Le plug-in WP GDPR Compliance est utilisé pour gérer différentes fonctions. Le billet de blog de Defiant explique: «En utilisation typique, le plug-in gère quelques types d’actions pouvant être soumises via la fonctionnalité admin-ajax.php de WordPress. Ces actions incluent la création du type de demandes d'accès aux données et de demandes de suppression requises par RGPD , mais incluent également une fonctionnalité permettant de modifier les paramètres du plug-in à partir du tableau de bord d'administration WordPress. ”


Mais la vulnérabilité a affecté certaines de ses fonctions. L'article du blog ajoute: «Toutefois, les versions non corrigées de WP GDPR Compliance (jusqu'à la version 1.4.2 incluse) échouent dans leurs vérifications de capabilité lors de l'exécution de son paramètre de sauvegarde d'action interne pour effectuer ces modifications de configuration. Si un utilisateur malveillant soumet des options et des valeurs arbitraires à ce noeud final, les champs de saisie seront stockés dans la table des options de la base de données du site affecté… En plus du stockage des valeurs d'options arbitraires, le plug-in effectue un appel à action () à l'aide de la commande Le nom et la valeur de l’option fournie peuvent être utilisés par les attaquants pour déclencher des actions WordPress arbitraires. ”


Il a été souligné que bien qu’il soit comptabilisé comme une vulnérabilité, le plug-in était en réalité affecté par deux bogues distincts. Le blogue de Defiant explique: «La divulgation de cette faille l'a signalée comme deux vulnérabilités distinctes: premièrement, les options arbitraires sont mises à jour et deuxièmement, les appels d'actions arbitraires, mais les deux exploits potentiels résidant dans le même bloc de code et exécutés avec le même charge utile, nous traitons cela comme une vulnérabilité unique d’escalade de privilèges. ”


Les chercheurs ont proposé un post de blog expliquant les scénarios d'attaque.


En attaquant de manière abusive le système d’enregistrement d’utilisateur sur un site Web piraté, les attaquants pourraient créer de nouveaux comptes d’administrateur et ainsi contrôler le site Web. Une fois qu'ils le font, ils inversent le changement des paramètres qui les ont aidés à entrer; ils désactivent également l'enregistrement de l'utilisateur. Ainsi, il n'y a pas d'alarmes et les attaques reviennent quelques heures plus tard pour se connecter avec leur accès administrateur et installer des portes dérobées.


Les attaquants pourraient également exploiter la vulnérabilité et abuser de WP-Cron, le planificateur de tâches de WordPress. Ils peuvent injecter des actions malveillantes dans le planificateur et finalement établir des backdoors persistants.


Cependant, la manière dont les pirates informatiques envisagent de manipuler les sites Web piratés n'est pas encore claire. Le scénario le plus probable impliquerait que les cybercriminels utilisent ces sites Web pour héberger des sites de phishing et pour répandre du spam.


Lire aussi : WordPress, 10 signes que votre site peut être piraté