Des milliers de sites WordPress compromis à cause d'une faille de sécurité sur l'extension MailPoet
D'après un rapport de Sucuri
Le 2014-07-26 15:49:16, par Stéphane le calme, Chroniqueur Actualités
L’expert en sécurité Sucuri avait signalé il y a quelques semaines déjà une « sérieuse vulnérabilité sur le plug-in WordPress MailPoet ». Cette extension qui a été conçu pour mettre en place un système de newsletter sur son blog ou son site WordPress a déjà été téléchargé près de 2 millions de fois et bénéficie d’une note de 4,9/5 sur la base de plus d’un millier d’évaluations.
Daniel Cig, le PDG de Sucuri, a expliqué que les hackers peuvent exploiter cette vulnérabilité sans disposer d'aucun compte ou privilège sur le site visé, et en prendre ainsi le contrôle quasi complet. Aussi, il leur est possible d’uploader n’importe quel fichier vers le serveur vulnérable, sans authentification « A partir de là, cela donne aux hackers la possibilité de faire à peu près ce qu'il veut sur le site visé. Tout fichier PHP peut être uploadé. Cela peut par exemple transformer un site en plateforme de relais pour un réseau de phishing, pour l'envoi de spam, pour héberger des malwares, pour infecter d'autres utilisateurs du même serveur, etc. » a-t-il expliqué.
La porte dérobée crée en l’occurrence un utilisateur « 1001001 » et lui donne les privilèges administrateurs notamment pour écraser des fichiers, ce qui peut rendre la restauration difficile si l’on n’a pas prévu de stratégie de backup. Si vous voyez le message d’erreur ci-dessous il est très probable que vous soyez victime d’un piratage ayant exploité cette faille.
Sucuri a constaté que le nombre de piratage utilisant la faille de sécurité se compte par milliers ; l’expert en sécurité estime à plus de 50 000 le nombre de sites ciblés depuis le début de ces attaques. Il est d’autant plus urgent de réagir que de nombreux thèmes WordPress intègrent MailPoet par défaut.
Néanmoins l’éditeur précise que seule la version 2.6.8 de l’extension sortie le 03 juillet est sécurisée. Aussi, en plus d’une mise à jour de l’extension sans délai pour tous les utilisateurs, une vérification et un nettoyage des sites est recommandé.
Source : blog Sucuri
Et vous ?
Utilisez-vous cette extension ? L'avez-vous mise à jour ?
Daniel Cig, le PDG de Sucuri, a expliqué que les hackers peuvent exploiter cette vulnérabilité sans disposer d'aucun compte ou privilège sur le site visé, et en prendre ainsi le contrôle quasi complet. Aussi, il leur est possible d’uploader n’importe quel fichier vers le serveur vulnérable, sans authentification « A partir de là, cela donne aux hackers la possibilité de faire à peu près ce qu'il veut sur le site visé. Tout fichier PHP peut être uploadé. Cela peut par exemple transformer un site en plateforme de relais pour un réseau de phishing, pour l'envoi de spam, pour héberger des malwares, pour infecter d'autres utilisateurs du même serveur, etc. » a-t-il expliqué.
La porte dérobée crée en l’occurrence un utilisateur « 1001001 » et lui donne les privilèges administrateurs notamment pour écraser des fichiers, ce qui peut rendre la restauration difficile si l’on n’a pas prévu de stratégie de backup. Si vous voyez le message d’erreur ci-dessous il est très probable que vous soyez victime d’un piratage ayant exploité cette faille.
Code : |
Parse error: syntax error, unexpected ')' in /home/user/public_html/site/wp-config.php on line 91
Sucuri a constaté que le nombre de piratage utilisant la faille de sécurité se compte par milliers ; l’expert en sécurité estime à plus de 50 000 le nombre de sites ciblés depuis le début de ces attaques. Il est d’autant plus urgent de réagir que de nombreux thèmes WordPress intègrent MailPoet par défaut.
Néanmoins l’éditeur précise que seule la version 2.6.8 de l’extension sortie le 03 juillet est sécurisée. Aussi, en plus d’une mise à jour de l’extension sans délai pour tous les utilisateurs, une vérification et un nettoyage des sites est recommandé.
Source : blog Sucuri
Et vous ?
Nosty
Nouveau membre du Club
Il est à noté que Mailpoet n'est pas le seul plugin à avoir été la cible de cette attaque. Donc arrêtons d'incriminer uniquement ce plugin !
Les autres plugins ciblés sont :
Gallery Objects 0.4 SQL Injection
WPTouch Authenticated File Upload
CopySafe PDF Protection 0.6 Shell Upload
Tidio Gallery 1.1 Shell Upload / XSS
Download Manager 2.6.8 Shell Upload
BSK PDF Manager 1.3.2 SQL Injection
MailPoet wysija-newsletters Unauthenticated File Upload
NextGEN Gallery 2.0.63 Shell Upload
blogstand-smart-banner.1.0 Cross Site Scripting
ml-slider 2.5 Cross Site Scripting
wp-construction-mode.1.8 Cross Site Scripting
Simple Share Buttons Adder 4.4 CSRF / XSS
Source : http://blog.secupress.fr/attaques-wo...press-261.html
Les autres plugins ciblés sont :
Gallery Objects 0.4 SQL Injection
WPTouch Authenticated File Upload
CopySafe PDF Protection 0.6 Shell Upload
Tidio Gallery 1.1 Shell Upload / XSS
Download Manager 2.6.8 Shell Upload
BSK PDF Manager 1.3.2 SQL Injection
MailPoet wysija-newsletters Unauthenticated File Upload
NextGEN Gallery 2.0.63 Shell Upload
blogstand-smart-banner.1.0 Cross Site Scripting
ml-slider 2.5 Cross Site Scripting
wp-construction-mode.1.8 Cross Site Scripting
Simple Share Buttons Adder 4.4 CSRF / XSS
Source : http://blog.secupress.fr/attaques-wo...press-261.html
le 26/07/2014 à 17:43