Le plugin Duplicator de WordPress est ciblé par des pirates

Des pirates informatiques ciblent une faille récemment corrigée dans un populaire plugin de WordPress nommé Duplicator. Ce plugin compte plus d’un million d’installations actives. Les chercheurs ont observé plus de 60 000 tentatives de collecte d’informations sensibles ciblant des victimes.

Les chercheurs de Wordfence qui ont découvert ces attaques ont déclaré dans un communiqué que 50 000 de ces attaques s’étaient produites avant que le créateur de Duplicator, Snap Creek, ne distribue un patch pour le bug le 12 février.

La faille de Duplicator

Duplicator est un simple utilitaire de sauvegarde et de migration de site. Il donne aux administrateurs de sites WordPress la possibilité de migrer, copier, déplacer ou cloner un site. WordPress affirme que Duplicator a été téléchargé plus de 15 millions de fois et est utilisé activement par plus d’un million de sites.

Malheureusement, les versions de Duplicator antérieures à la version 1.3.28 et les versions de Duplicator Pro antérieures à la version 3.8.7.1 contiennent une faille de sécurité de téléchargement de fichier arbitraire non authentifié. Selon un rapport de Tenable, «un pirate distant non authentifié pourrait exploiter cette vulnérabilité en envoyant une demande spécial à un site WordPress qui utilise une version vulnérable du plugin Duplicator».

Cela permettrait aux hackers de télécharger ensuite des fichiers en dehors du répertoire prévu. Le seul bémol est qu’un pirate aurait besoin «d’une certaine connaissance de la structure du fichier ciblé ou de tenter de télécharger des fichiers connus», a écrit Satnam Narang, chercheur chez Tenable.

duplicator

Narang a déclaré que deux fonctions, duplicator_download et duplicator_init, sont vulnérables dans les versions non patchées, car elles ont été implémentées à l’aide du hook wp_ajax_nopriv_. En pratique, cela signifie qu’ils seraient exécutés sur chaque page WordPress chargée, que l’utilisateur soit connecté ou non.

«Dans ces fonctions, le paramètre de fichier a été filtré mais non validé, donc un pirate informatique pourrait utiliser un path traversal pour accéder aux fichiers en dehors du chemin spécifié par Duplicator», a expliqué Narang. “Ces fichiers pourraient inclure le fichier wp-config.php.”

Il s’agit du fichier de configuration du site WordPress qui contient les informations d’identification de la base de données et les clés et sels d’authentification.

L’attaque

Selon Wordfence, les 60 000 tentatives d’exploitation détectées au sein de sa télémétrie étaient toutes des tentatives de téléchargement du fichier wp-config.php.

“Selon le site, wp-config.php peut contenir n’importe quelle quantité de code personnalisé, mais les hackers le ciblent pour accéder aux informations d’identification de la base de données d’un site”, selon un article publié. “Avec ces informations d’identification, un pirate peut accéder directement à la base de données du site de la victime s’il autorise les connexions à distance. Cet accès peut être utilisé par un pirate pour créer son propre compte d’administrateur et compromettre davantage le site, ou simplement pour injecter du contenu ou récolter des données. »

Cela dit, même les sites Web qui conservent leurs bases de données configurées uniquement pour un accès local peuvent être attaqués, a déclaré le cabinet – si ces bases de données sont situées dans un environnement d’hébergement partagé.

“Il est possible pour un utilisateur sur un serveur partagé d’accéder à la base de données locale d’un autre site sur le même serveur”, selon Wordfence.

Presque toutes les attaques que les chercheurs ont détectées provenaient de la même adresse IP: 77.71.115.52. Cela correspond à un centre de données en Bulgarie, détenu par Varna Data Center EOOD. Les attaques sont émises via des requêtes GET en utilisant les chaînes de requête «action = duplicator_download» et «file = / .. / wp-config.php».

“Une poignée de sites Web sont hébergés sur ce serveur, ce qui suggère que le pirate pourrait lancer ces attaques via un site Web compromis”, a ajouté la firme.

De plus, Wordfence a ajouté que la même adresse IP était liée à d’autres activités malveillantes ciblant WordPress récemment, donc les chercheurs surveillent la situation.

wordpress code snippets

“Le nombre d’installation important de Duplicator, combiné à la facilité d’exploitation de cette vulnérabilité, fait de cette faille une cible alléchante pour les cybercriminels”, selon Wordfence. “Il est essentiel que les utilisateurs de Duplicator mettent à jour leurs plug-ins vers la dernière version disponible dès que possible pour supprimer ce risque.”

Comme indiqué, Snap Creek a patché la faille dans Duplicator version 1.3.28 et Duplicator Pro version 3.8.7.1 le 12 février. Les utilisateurs de Duplicator et Duplicator Pro sont fortement encouragés de mettre à niveau vers les versions 1.3.28 et 3.8.7.1 ou une version ultérieure dès que possible. .

Les plugins WordPress vulnérables continuent de de faire leurs apparitions sur les sites Web. Un peu plus tôt en février, par exemple, une faille critique dans un populaire plugin WordPress qui aide à rendre les sites Web conformes au Règlement général sur la protection des données (RGPD) a été révélée. Cette faille de sécurité permettait à des pirates informatiques de modifier le contenu ou d’injecter du code JavaScript malveillant dans les sites Web des victimes. Elle a touché 700 000 sites.

«La ‘porte d’entrée’ d’une organisation est son site Web et c’est aussi la cible des cybercriminels qui tentent d’obtenir un accès pour injecter du code malveillant et installer des logiciels malveillants sur les systèmes de tous ceux qui visitent le site Web», a déclaré James McQuiggan, chargé de la sensibilisation à la sécurité informatique chez KnowBe4. «La sécurité du site Web devrait être extrêmement robuste avec un programme de contrôle de modifications bien documenté et reproductible, ainsi que des patchs réguliers. Les organisations utilisant des plugins doivent vérifier toutes les mises à jour et les tester pour réduire le risque d’infection des utilisateurs qui visitent leur site Web. »

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x