Les chercheurs de Wordfence ont découvert une vulnérabilité critique dans le plugin WordPress WPGateway qui est déjà activement exploitée.
Une équipe de chercheurs de Wordfence a découvert une nouvelle vulnérabilité dans le plugin WordPress WPGateway qui pourrait permettre à un attaquant d’injecter un compte administrateur et de prendre entièrement le contrôle du site Web. Les utilisateurs du plugin doivent agir dès que possible.
WPGateway permet aux attaquants d’injecter des comptes d’administrateur
Selon un article de blog, le 8 septembre, l’équipe Wordfence Threat Intelligence a découvert une vulnérabilité dans le plugin WPGateway pour WordPress qui était activement exploitée par des pirates. Les attaquants peuvent utiliser cette vulnérabilité pour ajouter un utilisateur administrateur à un site Web et l’utiliser à des fins malveillantes.
WPGateway est un plugin WordPress premium avec connexion cloud. Il simplifie les tâches des administrateurs, telles que la configuration des sauvegardes automatiques. L’outil simplifie également la gestion des thèmes et des plugins via un tableau de bord central. Malheureusement, les attaquants peuvent utiliser la vulnérabilité récemment découverte dans le plugin pour injecter leur propre compte administrateur sans aucune authentification et ainsi prendre complètement le contrôle du site Web.
Les chercheurs de Wordfence ont déjà informé le développeur du plugin de la vulnérabilité trouvée et réservé l’identifiant CVE-2022-3180. Cependant, la société ne souhaite pas publier de détails sur l’exploitation de la vulnérabilité pour le moment. Car bien qu’il soit déjà activement exploité, il existe un risque que davantage d’attaquants tombent sur des sites Web non protégés. Avant cela, c’est au tour des développeurs de WPGateway de fournir un patch et d’empêcher ainsi la prise de contrôle d’autres sites WordPress.
Les utilisateurs de WPGateway doivent garder un œil sur les utilisateurs et les journaux
L’équipe Wordfence partage également quelques conseils utiles pour déterminer si votre site Web est déjà compromis. C’est très probablement le cas lorsqu’un nouvel utilisateur administrateur nommé « gammex » est représenté.
De plus, les demandes peuvent être adressées à «//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1» dans les logs indiquent qu’un attaquant a déjà tenté de s’emparer du site. Cependant, un compromis réussi ne peut pas en découler directement.
Les clients de Wordfence sont en sécurité – tout le monde devrait agir
Wordfence trouve des mots rassurants pour ses propres clients : «Les clients Wordfence Premium, Wordfence Care et Wordfence Response ont reçu une règle de pare-feu le 8 septembre 2022 pour se protéger contre cette vulnérabilité‘ dit le billet de blog. La société déclare également que son propre pare-feu a déjà « A bloqué avec succès plus de 4,6 millions d’attaques contre cette vulnérabilité sur plus de 280 000 sites Web.«
Pour tous ceux qui ont installé le plugin WPGateway, l’équipe conseille « vous invite à le supprimer immédiatement jusqu’à ce qu’un correctif soit disponible et à vérifier votre tableau de bord WordPress pour les utilisateurs administrateurs malveillants.«
Les plugins WordPress deviennent de plus en plus la cible d’attaquants. Les plugins InfiniteWP, WP Time Capsule et WP Database Reset ont déjà ouvert la porte aux pirates et permis la prise de contrôle des sites Web concernés. En cas de doute, mieux vaut avoir trop peu de plugins que trop de plugins. Parce que plus j’utilise de plugins, plus j’ai de failles de sécurité potentielles dans le système. Et plus je dépends des développeurs pour leur travail propre et consciencieux.
