Les Hackers tirent activement parti d’un plugin de partage social largement employé pour WordPress

Des hackers ont été surpris en train de se servir d’une paire de failles de sécurité critiques dans l’un des plugins populaires de partage de médias sociaux dans le but de contrôler des sites Web WordPress qui continuent à se servir du plug-in dans une version vulnérable de ce dernier.

Le plugin faible concerné est Social Warfare qui se révèle être un plugin WordPress très connu et répandu et qui compte plus de 900.000 téléchargements. Il permet d’ajouter des touches de répartition sociale à un site Web ou à un blog WordPress.

En fin de mois dernier, les administrateurs de Social Warfare for WordPress ont lancé une version 3.5.3 mise à jour de leur plugin dans le but de remédier à deux failles de sécurité – XSS (cross-site scripting) et RCE (remote code execution) sauvegardés par un seul identifiant, soit CVE-2019-9978.

Les hackers sont capables de profiter de ces vulnérabilités afin de mettre en œuvre du code PHP arbitraire et de prendre le contrôle total de sites Web et de serveurs sans authentification, puis d’utiliser les sites compromis pour effectuer des opérations de numérisation ou d’exploitation malveillante d’hôtes.

Toutefois, un analyste en sécurité sans nom a fait paraître une divulgation le même jour où Social Warfare a dévoilé la version corrigée de son plugin, et une preuve de notion de la vulnérabilité XSS (Cross-Site Scripting) stockée, ainsi qu’un dévoilement complet des données de ce dernier.

Aussitôt après le dévoilement complet et la sortie du PoC, les hackers se sont mis à faire des tentatives d’exploitation de la vulnérabilité, mais heureusement, elle s’est réduite à la réorientation JavaScript, les chercheurs ne découvrant aucune manœuvre en cours pour exploiter cette vulnérabilité RCE.

Désormais, les chercheurs de Palo Alto Network Unit 42 découvrirent de nombreux exploits prenant avantage de ces vulnérabilités dans la nature, en particulier un exploit pour la vulnérabilité RCE qui permet au hacker de prendre le contrôle du site affecté et un exploit pour la vulnérabilité XSS qui réoriente l’utilisateur cible un site publicitaire.

Même si les deux failles proviennent d’une mauvaise gestion des entrées, l’utilisation d’une mauvaise fonctionnalité a donné la possibilité aux hackers de les exploiter à distance sans avoir besoin  d’aucune authentification, faute d’une fonction suffisante.

«L’origine de chacune de ces deux vulnérabilités est similaire : la mauvaise utilisation de la fonction is_admin() dans WordPress», précisent les chercheurs dans un article de blog.  «Is_admin vérifie seulement si la page demandée fait partie de l’interface d’administration et n’empêche aucune visite non autorisée.», disent les chercheurs dans un article de blog.

Alors que la rédaction de ce rapport est en cours, plus de 37 000 sites Web WordPress sur 42 000 sites actifs, ainsi que des sites éducatifs, financiers et de médias (certains des sites les plus populaires de Alexa), se servent toujours du plug-in Social Warfare, une version dépassée, fragile, qui expose les visiteurs au hackers par divers autres moyens, qui peuvent atteindre des centaines de millions de personnes.

Puisqu’il est fort possible que les hackers ne cesseront de tirer profit des vulnérabilités afin de cibler les usagers de WordPress, il est hautement conseillé aux administrateurs du site de mettre le plug-in Social Warfare à niveau 3.5.3 ou une nouvelle version le plus rapidement possible.