Thrive Themes a patché plusieurs failles dans ses plugins et ses thèmes

0

Thrive Themes a récemment corrigé plusieurs vulnérabilités dans ses plugins WordPress et ses thèmes mais les pirates informatiques ciblent les utilisateurs qui n’ont pas encore appliqué les mises à jour de sécurité.

Les pirates informatiques exploitent activement deux vulnérabilités récemment patchées dans la suite populaire d’outils pour les sites WordPress de la plate-forme de marketing Thrive Themes.

Thrive Themes propose divers produits pour aider les sites WordPress à « convertir les visiteurs en clients ». Sa suite de produits, appelée Thrive Suite, inclut une gamme de thèmes, des outils pour aider à changer la mise en page et la conception des sites Web WordPress, ainsi que divers plugins. Ces plugins offrent divers développements de sites Web et fonctionnalités visuelles, y compris Thrive Architect, qui aide les propriétaires de site à créer des pages de destination de site Web, et Thrive Comments, qui les aide à implémenter des sections de commentaires.

Deux vulnérabilités ont été découvertes sur ces thèmes et plugins, et des correctifs ont été déployés par la suite le 12 mars. Les failles pourraient être associées pour permettre aux individus malveillants non authentifiés de télécharger des fichiers arbitraires sur des sites WordPress vulnérables, permettant l’exploitation du site Web.

Cependant, malgré la sortie des correctifs, les chercheurs observent une vague de tentatives d’exploits et ils avertissent que plus de 100 000 sites WordPress utilisant les produits Thrive Themes peuvent encore être vulnérables.

« Nous voyons ces vulnérabilités être activement exploitées dans la nature, et nous recommandons aux utilisateurs de mettre à jour avec les dernières versions disponibles immédiatement car elles contiennent un patch pour ces vulnérabilités », selon Chloe Chamberland, analyste chez Wordfence.

Voici une liste des versions affectées de Thrive Themes Legacy Themes et plugins, selon Wordfence:

  • Tout les thèmes Legacy, y compris Rise, Ignition, et les autres | Version < 2.0.0
  • Thrive Optimize | Version < 1.4.13.3
  • Thrive Comments | Version < 1.4.15.3
  • Thrive Headline Optimizer | Version < 1.3.7.3
  • Thrive Themes Builder | Version < 2.2.4
  • Thrive Leads Version | < 2.3.9.4
  • Thrive Ultimatum Version | < 2.3.9.4
  • Thrive Quiz Builder Version | < 2.3.9.4
  • Thrive Apprentice | Version < 2.3.9.4
  • Thrive Architect | Version < 2.6.7.4
  • Thrive Dashboard | Version < 2.3.9.3

Les failles patchées par Thrive Themes

La plus critique des deux failles a un score de 10 sur 10 sur l’échelle CVSS, et se trouve dans Thrive Themes Legacy Themes. Ces thèmes comportent la possibilité de compresser automatiquement des images pendant les téléchargements – mais cette fonctionnalité a été implémentée de manière non sécurisée, a déclaré Chamberland.

« Thrive ‘Legacy’ Themes enregistre un point de terminaison REST API pour compresser les images à l’aide du moteur d’optimisation d’image Kraken », a déclaré Chamberland. « En fournissant une requête conçue en combinaison avec des données insérées à l’aide de la vulnérabilité d’Option Update, il a été possible d’utiliser ce point de terminaison pour récupérer du code malveillant à partir d’une URL distante et écraser un fichier existant sur le site ou créer un nouveau fichier. Cela inclut les fichiers PHP exécutables qui contiennent du code malveillant.

Une autre vulnérabilité moins grave existe dans les plugins Thrive Themes. Cette erreur découle d’une implémentation non sécurisée d’une fonctionnalité dans le tableau de bord Thrive, permettant l’intégration avec l’outil d’automatisation en ligne Zapier. Afin de réaliser cette intégration, les produits Thrive Themes enregistrent un point de terminaison REST API associé à la fonctionnalité Zapier.

« Bien que ce point de terminaison était destiné à exiger une clé API afin d’y accéder, il a été possible d’y accéder en fournissant un paramètre api_key vide dans les versions vulnérables si Zapier n’était pas activé », selon Chamberland. « Les attaquants peuvent utiliser ce point de terminaison pour ajouter des données arbitraires à une option prédéfini dans la table wp_options . »

Il convient de noter que les identifiants CVE pour ces deux vulnérabilités sont en attente, selon Wordfence.

thrive themes suite

La chaîne d’exploitation

Chamberland a déclaré que les hackers peuvent associer ces deux vulnérabilités ensemble afin d’accéder aux sites Web affectés – bien que Chamberland a précisé que les chercheurs fournissent intentionnellement des détails minimes sur la chaîne d’exploitation « dans une tentative de maintenir l’exploitation à un minimum tout en informant les propriétaires de site WordPress utilisant les produits affectés Thrive Theme de cette campagne active. »

Les pirates informatiques utilisent la vulnérabilité de gravité moyenne « Unauthenticated Option Update(Mise à jour d’option non authentifiée) » pour mettre à jour une option dans la base de données. Cela peut ensuite être utilisé pour tirer parti de la faille de gravité critique « Unauthenticated Arbitrary File Upload (Téléchargement arbitraire de fichier non-authentifié)» et télécharger des fichiers PHP malveillants.

« La combinaison de ces deux vulnérabilités permet aux attaquants d’accéder par la porte dérobée à des sites vulnérables afin de les compromettre davantage », a déclaré M. Chamberland.

Les exploits continuent

Les chercheurs ont pu « vérifier ce vecteur d’intrusion » sur un site individuel et ils ont ensuite trouvé la charge utile ajoutée par cette attaque sur plus de 1 900 sites, qui semblent tous avoir des critères d’évaluation vulnérables de l’API REST.

Chamberland a déclaré que les chercheurs voient les attaquants ajouter un fichier inscription.php au dossier root des sites ciblés, qui est ensuite utilisé pour infecter davantage les sites avec du spam.

« Ce nombre continue d’augmenter, ce qui indique que les attaquants continuent d’exploiter avec succès les vulnérabilités et les sites compromis », a déclaré Chamberland. « À l’heure actuelle, nous n’avons aucune idée de qui est derrière les attaques, cependant, la plupart des données d’attaque que nous voyons provient principalement d’un attaquant avec l’adresse IP 5.255.176.41. »

Chamberland a déclaré que les utilisateurs de Thrive Themes devraient s’assurer qu’ils sont à jour le plus tôt possible.

« Pour l’instant, nous recommandons aux propriétaires de sites utilisant l’un des thèmes de Thrive Themes de mettre à jour vers la version 2.0.0 immédiatement, et tous les propriétaires de site utilisant l’un des plugins Thrive de mettre à jour vers la dernière version disponible pour chacun des plugins respectifs, a-t-elle souligné.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire

Votre adresse email ne sera pas publiée.