WordPress XSS

Le problème critique du plugin WordPress permet aux pirates de prendre le contrôle de 1M de sites

Le problème critique du plugin WordPress permet aux pirates de prendre le contrôle de 1M de sites

Les pirates informatiques exploitent activement deux vulnérabilités de sécurité dans les plugins Elementor Pro et Ultimate pour Elementor WordPress dans le but ultime d’exécuter à distance du code arbitraire et de compromettre complètement les cibles inaccessibles.

Des informations faisant état d’acteurs de menaces tentant d’abuser des deux erreurs lors d’attaques en cours ont fait surface le 6 mai, comme l’a rapporté aujourd’hui l’équipe Threat Wordfence Intelligence.

Les attaquants peuvent supprimer des pages après une exploitation réussie

Elementor Pro est un plugin payant avec un nombre estimé de plus d’un million d’installations actives qui aide les utilisateurs à créer facilement des sites Web WordPress à partir de zéro à l’aide d’un générateur de thème intégré, d’un concepteur de widget visuel et support spécial pour CSS.

La faiblesse d’Elementor Pro est un problème d’exécution de code à distance, considéré comme critique, qui permet aux attaquants avec des utilisateurs enregistrés d’accéder à des fichiers arbitraires sur des sites Web cibles et à l’exécution de code à distance – lorsque les attaques ont commencé, c’était une zéro jour.

Les attaquants qui réussissent à exploiter cette faille de sécurité peuvent ensuite installer une sauvegarde en arrière-plan ou réseau pour maintenir l’accès aux sites compromis, obtenir un accès administrateur complet pour la compromettre complètement, ou même supprimer l’intégralité du site.

S’ils ne peuvent pas s’enregistrer en tant qu’utilisateurs, ils peuvent profiter de la deuxième vulnérabilité affectant le plugin Ultimate Addons pour Elementor WordPress (installé sur plus de 110000 sites) qui leur permettra de s’enregistrer en tant qu’utilisateurs de niveau abonné. dans n’importe quel site qui fonctionne avec le plugin même si l’inscription de l’utilisateur est désactivée.

« Ensuite, ils continuent d’utiliser des comptes nouvellement enregistrés pour exploiter la vulnérabilité d’Elementor Pro (..) et réaliser l’exécution de code à distance », comme l’a révélé Wordfence.

Mesures apaisantes

Pour vous protéger contre ces attaques en cours, vous devez mettre à jour Elementor Pro vers la version 2.9.4 qui ajuste la sensibilité d’exécution du code à distance.

Les utilisateurs des modules complémentaires Ultimate pour Elementor devront le mettre à niveau vers la version 1.24.2 ou ultérieure.

Wordfence vous recommande de prendre les mesures suivantes pour vous assurer que votre site n’est pas compromis:

Recherchez tout utilisateur de niveau abonné inconnu sur votre site. Cela peut indiquer que votre site a été compromis dans le cadre de cette campagne active. Si c’est le cas, supprimez ces comptes.
Recherchez les fichiers nommés « wp-xmlrpc.php ». Ceux-ci peuvent être considérés comme un indicateur de compromis, alors vérifiez votre site pour une preuve de ce fichier.
Supprimez tous les fichiers ou dossiers inconnus trouvés dans le répertoire / wp-content / uploads / elementary / icons /. Les fichiers placés ici après la création d’un compte frauduleux au niveau de l’abonné sont une indication claire de compromis.

Une autre série massive d’attaques visant plus de 900 000 sites WordPress a commencé le 28 avril, essayant de rediriger les visiteurs vers des sites de mauvais traitements ou plantés derrière des maisons si leurs administrateurs étaient enregistrés.

L’acteur de la menace derrière eux a utilisé au moins 24 000 adresses IP pour envoyer des demandes malveillantes à plus de 900 000 sites, avec plus de 20 millions d’attaques lancées contre plus d’un demi-million de pages le 3 mai seulement.

Notes: 4.9 . 9500 Votes