Le plugin SMTP de Zero-day dans WordPress abusé pour réinitialiser les mots de passe des comptes d’administrateur
Un correctif a été publié plus tôt cette semaine, mais de nombreux sites WordPress sont restés non corrigés – comme d’habitude. Les pirates réinitialisent les mots de passe des comptes administrateurs sur les sites WordPress à l’aide d’une vulnérabilité zero-day dans un plugin WordPress populaire installé sur plus de 500 000 sites.
Le ZeroDay a été utilisé dans les attaques au cours des dernières semaines et a été corrigé lundi.
Cela a un impact sur Easy WP SMTP, un plugin qui permet aux propriétaires de sites de configurer les paramètres SMTP pour les e-mails sortants de leur site Web.
Selon l’équipe de Ninja Technologies Network (NinTechNet), Easy WP SMTP 1.4.2 et les versions antérieures du plugin contiennent une fonctionnalité qui crée des journaux de débogage pour tous les e-mails envoyés par le site, qu’il stocke ensuite dans son dossier d’installation.
« Le dossier du plugin n’a pas de fichier index.html, par conséquent, sur les serveurs sur lesquels la liste de répertoires est activée, les pirates peuvent trouver et afficher le journal », a déclaré Jerome Bruandet de NinTechNet.
Bruandet dit que sur les sites exécutant des versions vulnérables de ce plugin, des pirates ont mené des attaques automatisées pour identifier le compte administrateur, puis initier une réinitialisation du mot de passe.
Étant donné qu’une réinitialisation du mot de passe implique l’envoi d’un e-mail avec le lien de réinitialisation du mot de passe au compte administrateur, cet e-mail est également enregistré dans le journal de débogage Easy WP SMTP.
Tout ce que les attaquants ont à faire est d’accéder au journal de débogage après la réinitialisation du mot de passe, de saisir le lien de réinitialisation et de prendre en charge le compte administrateur du site.
« Cette vulnérabilité est actuellement exploitée, assurez-vous de mettre à jour dès que possible la dernière version », a averti Bruandet en début de semaine lundi.
Les développeurs du plugin ont résolu ce problème en déplaçant le journal de débogage du plugin dans le dossier des journaux WordPress, où il est mieux protégé. La version où ce bogue a été corrigé est Easy WP SMTP 1.4.4, selon le changelog du plugin.
Cela marque le deuxième jour zéro découvert dans ce plugin très populaire. Un premier jour zéro a été découvert abusé dans la nature en mars 2019, lorsque des pirates ont utilisé une vulnérabilité SMTP Easy WP pour activer l’enregistrement des utilisateurs, puis ont créé des comptes d’administrateur de porte dérobée.
La bonne nouvelle est que par rapport à mars 2019, aujourd’hui, le CMS WordPress a reçu une fonction de mise à jour automatique intégrée pour les thèmes et les plugins.
Ajoutée en août 2020, avec la sortie de WordPress 5.5, si elle est activée, cette fonctionnalité permettra aux plugins de toujours s’exécuter sur la dernière version en se mettant à jour, au lieu d’attendre l’appui sur le bouton d’un administrateur.
Cependant, il est actuellement difficile de savoir combien de sites WordPress ont cette fonctionnalité activée et combien des 500000 sites WordPress exécutent actuellement la dernière version (corrigée) de Easy WP SMTP.
Selon les statistiques de WordPress.org, le nombre n’est pas si élevé, ce qui signifie que de nombreux sites restent vulnérables aux attaques.
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram