Un plugin désuet peu rendre vulnérable votre site WordPress et causer des dommages élevés

Les pirates informatiques exploitent activement une vulnérabilité qui leur permet d’exécuter des commandes et des scripts malveillants sur des sites Web exécutant File Manager , un plugin WordPress avec plus de 700 000 installations actives, ont déclaré des chercheurs. La nouvelle des attaques est arrivée quelques heures après la correction de la faille de sécurité. Les attaquants utilisent l’exploit pour télécharger des fichiers contenant des fichiers cachés dans une image. À partir de là, ils ont une interface pratique qui leur permet d’exécuter des commandes et, à partir de ce moment,   les pirates peuvent être en mesure d’exiger plus de dégâts en téléchargeant des scripts qui peuvent effectuer des actions sur d’autres parties d’un site vulnérable.

Courriel de Jérôme Bruandet, PDG de NinTechNet :

Il est un peu trop tôt pour connaître l’impact, car lorsque nous avons découvert l’attaque, les pirates essayaient simplement de trouver des backdoors aux sites Web. Cependant, une chose intéressante que nous avons remarquée est que les attaquants injectaient du code pour protéger par mot de passe l’accès au fichier vulnérable (connector.minimal.php) afin que d’autres groupes de pirates ne puissent pas exploiter la vulnérabilité sur les sites déjà infectés.

Toutes les commandes peuvent être exécutées dans le dossier / lib / files (créer des dossiers, supprimer des fichiers, etc.), mais le problème le plus important est qu’ils peuvent également télécharger des scripts PHP dans ce dossier, puis les exécuter et faire ce qu’ils veulent sur le blog .

Jusqu’à présent, ils téléchargent “FilesMan”, un autre gestionnaire de fichiers souvent utilisé par les pirates. Dans les prochaines heures et les prochains jours, nous verrons exactement ce qu’ils vont faire, car s’ils ont protégé par mot de passe le fichier vulnérable pour empêcher d’autres pirates d’exploiter la vulnérabilité, il est probable qu’ils s’attendent à revenir visiter les sites infectés.

52% de 700 000 = potentiel de dommages

La faille de sécurité se trouve dans les versions du gestionnaire de fichiers allant de 6.0 à 6.8. Les statistiques de WordPress montrent qu’actuellement, environ 52% des installations sont vulnérables. Avec plus de la moitié de la base installée de File Manager de 700 000 sites vulnérables, le potentiel de dommages est élevé. Les sites exécutant l’une de ces versions doivent être mis à jour vers 6.9 dès que possible.

---

Source : Hackers are exploiting a critical flaw affecting >350,000 WordPress sites par Dan Goodin – ars technica– 01/09/2020 (traduction libre par Marc Lajoie)