Actus

730 000 sites WordPress mis à jour de force pour corriger un bogue de plug-in critique

Par , le 17 juin 2022 - 4 minutes de lecture
730 000 sites WordPress mis à jour de force pour corriger un bogue de plug-in critique
Notez l'article

Les sites WordPress utilisant Ninja Forms, un plugin de création de formulaires avec plus d’un million d’installations, ont été mis à jour en masse cette semaine vers une nouvelle version qui corrige une vulnérabilité de sécurité critique probablement exploitée à l’état sauvage.

La vulnérabilité est une vulnérabilité d’injection de code affectant plusieurs versions de Ninja Forms, à partir de la version 3.0.

L’analyste des menaces de Wordfence, Ramuel Gall, a découvert lors de la rétro-ingénierie du correctif que des attaquants non authentifiés peuvent exploiter ce bogue à distance pour appeler diverses classes de formulaires Ninja en utilisant une faille dans la fonction de fusion des balises.

Une exploitation réussie leur permet de prendre totalement le contrôle des sites WordPress non patchés via plusieurs chaînes d’exploitation, l’une d’entre elles permettant l’exécution de code à distance via la désérialisation pour prendre totalement le contrôle du site web ciblé.

“Nous avons découvert une vulnérabilité d’injection de code qui permettait à des attaquants non authentifiés d’appeler un nombre limité de méthodes dans diverses classes Ninja Forms, y compris une méthode qui désérialisait le contenu fourni par l’utilisateur, entraînant l’injection d’objets”, a déclaré Chloe Chamberland, responsable du renseignement sur les menaces de Wordfence. .

“Cela pourrait permettre aux attaquants d’exécuter du code arbitraire ou de supprimer des fichiers arbitraires sur des sites où une chaîne POP distincte était présente.”

Mise à jour de force et probablement exploitée à l’état sauvage

Mise à jour de force et probablement exploitée à l'état sauvage

Bien qu’il n’y ait pas eu d’annonce officielle, la plupart des sites Web vulnérables semblent avoir déjà été mis à jour de force en fonction du nombre de téléchargements depuis que cette faille a été corrigée le 14 juin.

Selon les statistiques de téléchargement de Ninja Forms, la mise à jour de sécurité a été déployée plus de 730 000 fois depuis la publication du correctif.

Si le plugin n’a pas encore été mis à jour automatiquement vers la version corrigée, vous pouvez également appliquer manuellement la mise à jour de sécurité depuis le tableau de bord (la dernière version sécurisée contre les attaques est la 3.6.11).

Les analystes de Wordfence ont également trouvé des preuves indiquant que cette faille de sécurité est déjà exploitée dans les attaques en cours.

“WordPress semble avoir effectué une mise à jour automatique forcée pour ce plugin, donc votre site utilise peut-être déjà l’une des versions corrigées”, a ajouté Chamberland.

Mises à jour forcées utilisées pour corriger les bogues critiques

Mises à jour forcées utilisées pour corriger les bogues critiques

Cela correspond aux cas précédents où Automattic, la société à l’origine du système de gestion de contenu WordPress, utilisait des mises à jour forcées pour corriger rapidement les failles de sécurité critiques utilisées par des centaines de milliers ou des millions de sites.

Samuel Wood, un développeur WordPress, a déclaré en octobre 2020 qu’Automattic avait utilisé des mises à jour de sécurité forcées pour pousser « plusieurs fois les versions de sécurité des plugins » depuis la sortie de WordPress 3.7.

Comme Marc Montpas, chercheur en sécurité chez Automattic, l’a également déclaré à BleepingComputer en février, les correctifs forcés sont utilisés quels que soient les paramètres de leurs administrateurs dans “des cas très rares et exceptionnellement graves”.

Par exemple, en 2019, Jetpack a reçu une mise à jour de sécurité critique qui corrigeait un bogue dans la façon dont le plugin traitait le code d’intégration.

D’autres mises à jour de sécurité forcées ont résolu un problème découvert lors d’un audit interne du bloc du formulaire de contact Jetpack en décembre 2018, un bogue critique dans la façon dont certains codes abrégés Jetpack ont ​​été traités en mai 2016 et un problème de logique d’authentification en juin 2021.

Plus récemment, en février 2022, 3 millions de sites Web utilisant le plugin WordPress UpdraftPlus ont été corrigés de force pour fermer une vulnérabilité permettant aux abonnés de télécharger les sauvegardes de la base de données.

  • Lunartec Lampe de luminothérapie avec LED CCT 10 000 lux
    Cette lampe de luminothérapie reproduit la lumière du jour. Elle diffuse une lumière couvrant la totalité du spectre sans émettre d'UV. Grâce à 5 niveaux de luminosité, vous choisissez l'in...
  • Volvo batterie de voiture Volvo V60 (FW/GW) 2.4 D5 20_V Plug-in Hybrid (supérieur à 2010)
    Batterie de démarrage Auto plomb sans entretien, livrée prêt à l'emploi. Tension : 12V Capacité : 80Ah Intensité de démarrage (CCA EN) : 730A Dimensions : 315 x 175 x 190mm Polarité : [- +]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.