WordPress : Les bogues du plugin Newsletter permettent aux pirates d'injecter des portes dérobées sur plus 300 000 sites

Les propriétaires de sites WordPress qui utilisent le plugin Newsletter sont invités à mettre à jour leurs installations pour bloquer les attaques qui pourraient utiliser un patch de vulnérabilité permettant aux pirates d'injecter des portes dérobées et potentiellement de prendre le contrôle de leurs sites Web.

La vulnérabilité a été trouvée dans le plugin WordPress Newsletter qui fournit les outils nécessaires pour créer des campagnes de newsletter et de marketing par e-mail réactives sur les blogs WordPress à l'aide d'un compositeur visuel.

La newsletter a déjà été téléchargée plus de 12 millions de fois depuis son ajout au référentiel officiel de plugins WordPress et est désormais installée sur plus de 300 000 sites.

Dans un rapport publié par l'équipe Threat Intelligence de Wordfence, l'analyste des menaces Ram Gall dit qu'il a découvert deux failles de sécurité supplémentaires en analysant un correctif précédent publié par les développeurs du plugin le 13 juillet.

Wordfence a repéré une faille XSS (Cross-Site Scripting) et une vulnérabilité d'injection d'objets PHP qui ont toutes deux été entièrement corrigées par l'équipe de développement de Newsletter le 17 juillet avec la sortie de la version 6.8.3, deux jours après le rapport initial envoyé le 15 juillet.

Alors que les deux failles sont classées comme des problèmes de gravité moyenne et élevée, qui pourraient permettre aux attaquants d'ajouter des administrateurs malveillants et d'injecter des portes dérobées après avoir exploité avec succès le problème XSS reflété sur les sites exécutant des versions vulnérables du plugin Newsletter.

De plus, la faille d'injection d'objet PHP "pourrait être utilisée pour injecter un objet PHP qui pourrait être traité par le code d'un autre plugin ou thème et utilisé pour exécuter du code arbitraire, télécharger des fichiers ou tout autre type de tactique pouvant conduire à la prise de contrôle du site" selon Gall.

Au moins 150000 sites toujours exposés aux attaques

Même si Newsletter 6.8.3, la version du plugin qui contient un correctif pour les deux vulnérabilités, a été publiée le 17 juillet, le plugin n'a été téléchargé que 151449 fois depuis, selon les données de téléchargement historiques, y compris les mises à jour et les nouvelles installations.

Cela se traduit par au moins 150000 sites WordPress avec des installations de Newsletter actives encore potentiellement exposés à des attaques potentielles si les pirates commencent à exploiter ces bogues dans le cadre de futures campagnes.

Les utilisateurs de la newsletter sont invités à mettre à jour le plugin vers la version 6.8.3 dès que possible pour bloquer les attaques conçues pour ajouter des administrateurs non autorisés ou pour injecter des portes dérobées sur leurs sites étant donné que les acteurs de la menace utilisent fréquemment des vulnérabilités de plugin WordPress déjà corrigées dans leurs attaques.

Par exemple, il y a deux mois, Wordfence a signalé une campagne ciblant des centaines de milliers de sites WordPress dans les 24 heures, tentant de collecter les informations d'identification de la base de données en volant des fichiers de configuration après avoir exploité avec succès les failles XSS connues affectant les plugins et les thèmes WordPress.

«Entre le 29 mai et le 31 mai 2020, le pare-feu Wordfence a bloqué plus de 130 millions d'attaques destinées à récupérer les informations d'identification de la base de données de 1,3 million de sites en téléchargeant leurs fichiers de configuration», a déclaré Gall à l'époque.

La semaine dernière, une vulnérabilité de gravité maximale trouvée dans le plugin wpDiscuz installé sur plus de 70000 sites WordPress a permis aux pirates de prendre le contrôle des comptes d'hébergement via des attaques d'exécution de code à distance.

Source : CYWARE