WordPress: une faille zero-day critique de Fancy Product Designer est activement exploitée

0

Les pirates recherchent des sites exécutant le plug-in Fancy Product Designer pour exploiter une faille zero-day leur permettant de télécharger des logiciels malveillants.

Fancy Product Designer est un plugin de configuration de produit visuel pour WordPress, WooCommerce et Shopify, et il permet aux clients de personnaliser les produits en utilisant leurs propres graphiques et contenu.

Selon les statistiques de vente du plugin, Fancy Product Designer a été vendu et installé sur plus de 17 000 sites Web.

La faille zero-day affecte aussi les sites WooCommerce

Les failles zero-days sont des vulnérabilités divulguées publiquement que les fournisseurs n’ont pas corrigées, et qui, dans certains cas, sont également activement exploitées dans la nature ou ont des exploits de preuve de concept accessibles au public.

La faille de sécurité est une vulnérabilité d’exécution de code à distance de gravité critique découverte par l’analyste en sécurité de Wordfence, Charles Sweethill.

« La version de WordPress du plugin est également celle utilisée dans les installations WooCommerce et est vulnérable », a déclaré l’analyste des menaces, Ram Gall.

En ce qui concerne la version de Shopify du plugin, les attaques seraient probablement bloquées, étant donné que Shopify utilise des contrôles d’accès plus stricts pour les sites hébergés et exécutés sur sa plate-forme.

Les sites vulnérables sont exposés à une prise de contrôle complète

Les pirates qui exploitent avec succès la faille de Fancy Product Designer peuvent contourner les contrôles intégrés bloquant le téléchargement de fichiers malveillants pour déployer des fichiers PHP exécutables sur les sites où le plug-in est installé.

Cela permet aux pirates informatique de prendre complètement le contrôle des sites vulnérables suite à des attaques d’exécution de code à distance.

« Cet attaquant semble cibler les sites de commerce électronique et tenter d’extraire les informations de commande des bases de données du site », a déclaré Gall.

« Comme ces informations de commande contiennent des informations personnellement identifiables des clients, les propriétaires de sites sont dans une position particulièrement difficile s’ils exécutent toujours des versions vulnérables de ce plugin car cela provoque des risques pour la conformité PCI-DSS du commerçant en ligne.

« En raison de cette vulnérabilité activement attaquée, nous divulguons publiquement avec un minimum de détails même si elle n’a pas encore été corrigée afin d’alerter la communauté de prendre des précautions pour protéger leurs sites. »

Alors que la vulnérabilité n’a été exploitée qu’à petite échelle, les attaques ciblant les milliers de sites exécutant le plugin Fancy Product Designer ont commencé il y a plus de quatre mois, le 30 janvier 2021.

Une mise à jour de sécurité disponible

Étant donné que la vulnérabilité est en cours d’exploitation et a été classée comme étant de gravité critique, il est conseillé aux clients d’installer immédiatement la version corrigée de Fancy Product Designer 4.6.9 publiée le 2 juin.

WordFence patiente toujours pour publier des détails supplémentaires sur cette vulnérabilité en attendant que davantage de sites exécutant Fancy Product Designer applique la dernière mise à jour étant donné que la faille zero-day peut être exploitée « dans certaines configurations » même après la désactivation.

Des informations détaillées sur la façon de mettre à jour le plugin (qui ne vient pas avec un mécanisme de mise à jour automatique) et des indicateurs de compromis, y compris les adresses IP utilisées pour lancer ces attaques en cours, sont disponibles dans le rapport de WordFence.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire