Trois plugins WordPress ont attiré l'attention ce mois-ci après que les chercheurs y aient découvert de sérieuses vulnérabilités – et les chiffres donnent à réfléchir, en ce que ces plugins ont été installés sur plus de 400, 000 sites Web, avec des utilisateurs trop ouverts pour être ignorés par les cyberattaques.

Les trois plugins à l'honneur étaient InfiniteWP, WP Time Capsule, et les plugins de réinitialisation de la base de données WP.

ZDNet était l'un des sites de veille technologique pour inciter les lecteurs à l'action :« Si vous utilisez ces plugins, vous devez les mettre à jour immédiatement car la protection par pare-feu ne fonctionnera pas.

HotHardware 's Brittany Goetting a offert des chiffres plus sombres. Il y en a plus de 50, 000 plugins pour tout le monde et tous ne sont pas créés égaux, elle a écrit.

Sur les trois sous les projecteurs, on peut aussi bien commencer par la vulnérabilité de contournement d'authentification dans le client InfiniteWP. Sécurité nue l'a décrit comme un outil qui permet aux administrateurs de gérer plusieurs sites WordPress à partir de la même interface.

Les administrateurs supervisant les sites utilisent InfiniteWP Client.

Au moins 300, 000 des sites pourraient avoir été touchés par la vulnérabilité, dit Goetting.

Le plugin, cela a été trouvé, manquait de certains contrôles d'autorisation. "Vous êtes vulnérable si vous utilisez les versions du client InfiniteWP jusqu'à 1.9.4.4, et par conséquent les utilisateurs du plugin doivent mettre à jour leurs sites vers la version 1.9.4.5 dès que possible, " elle a écrit.

Le blog Wordfence (Wordfence est le produit d'une société appelée Defiant) a déclaré qu'il s'agissait d'une vulnérabilité d'authentification critique. "Une preuve de concept a été publiée ce matin, 14 janvier 2020. Si vous utilisez le client InfiniteWP version 1.9.4.4 ou antérieure, nous vous recommandons de mettre immédiatement à jour votre installation pour protéger votre site."

Dan Goodin dans Ars Technica a également décrit la gravité de la vulnérabilité de contournement d'authentification dans le plug-in InfiniteWP Client.

"Il permet aux administrateurs de gérer plusieurs sites Web à partir d'un seul serveur. La faille permet à quiconque de se connecter à un compte administratif sans aucune information d'identification. À partir de là, les attaquants peuvent supprimer des contenus, ajouter de nouveaux comptes, et effectuer un large éventail d'autres tâches malveillantes."

La société de sécurité WebARX a signalé InfiniteWP Client, et une autre vulnérabilité, WP Time Capsule.

Le WP Time Capsule a été conçu pour faciliter la sauvegarde des données du site Web.

Ars Technica a signalé que le bogue avait été corrigé dans la version 1.21.16. "Les sites exécutant des versions antérieures doivent être mis à jour immédiatement. La société de sécurité Web WebARX a plus de détails." mentionné Ars .

ZDNet parlé de WP Time Capsule; Charlie Osborne dans ZDNet a dit que WP Time Capsule était actif sur au moins 20, 000 domaines, selon la bibliothèque de plugins WordPress.

Le plugin WP Database Reset a reçu beaucoup d'attention, avec près de 80, 000 sites utilisant le plugin, qui aide les utilisateurs à réinitialiser leurs bases de données ou parties de bases de données à leurs paramètres par défaut.

Wordfence : « Le 7 janvier, notre équipe de renseignement sur les menaces a découvert des vulnérabilités dans la réinitialisation de la base de données WP, un plugin WordPress installé sur plus de 80, 000 sites Web. L'une de ces failles permettait à tout utilisateur non authentifié de réinitialiser n'importe quelle table de la base de données à l'état de configuration initial de WordPress, tandis que l'autre faille permettait à tout utilisateur authentifié, même ceux avec des autorisations minimales, la possibilité d'accorder à leur compte des privilèges administratifs tout en supprimant tous les autres utilisateurs de la table avec une simple demande."

Le plugin n'incluait pas initialement les contrôles de sécurité appropriés. "Une vulnérabilité a permis aux attaquants de réinitialiser n'importe quelle table et de provoquer une perte de disponibilité des données, " a écrit Goetting. " Une autre vulnérabilité a permis à n'importe quel abonné de prendre le contrôle total du site Web et d'expulser tous les administrateurs. Les deux failles ont heureusement été corrigées avec la version 3.15. Bien entendu, les chercheurs en sécurité encouragent également les utilisateurs à toujours sauvegarder leurs sites."

Sergiu Gartlan pour BipOrdinateur prêté attention à cette conclusion aussi. "Les bogues critiques trouvés dans le plugin WordPress Database Reset … permettent aux attaquants de supprimer tous les utilisateurs et d'obtenir automatiquement un rôle d'administrateur et de réinitialiser n'importe quelle table de la base de données."

Le blog Wordfence a émis cet avis, voyant que ceux-ci étaient considérés comme des problèmes de sécurité critiques pouvant entraîner une réinitialisation complète du site et/ou une prise de contrôle. "Nous vous recommandons fortement de mettre à jour immédiatement vers la dernière version (3.15)."

Qu'est-ce que Ars Technica conclure sur les trois plugins, InfiniWP, WP Time Capsule, et WP Database Reset ? Ils ont eu peu de mots et ceux-ci sont venus facilement :« Il est temps de patcher.

Les commentaires des lecteurs dans Ars tentaient d'identifier la source des problèmes. "Le problème, " dit un lecteur, "est lorsque les administrateurs du site installent 10, 000 plugins, dont chacun devient un nouveau vecteur d'attaque."

Où les utilisateurs ont-ils entendu cela auparavant ? Examen de l'activité informatique , de retour en juin, a déclaré que « les plugins WordPress sont largement considérés comme l'une des plus grandes menaces de sécurité pour les utilisateurs de WordPress ».

Il n'y a aucune preuve que l'un des trois plugins vulnérables soit activement exploité dans la nature, dit Goodin.

© 2020 Réseau Science X