Des pirates ciblent des millions de sites web basés sur WordPress

Selon des chercheurs en sécurité, des pirates exploitent actuellement des vulnérabilités dans trois plugins WordPress très populaires, à savoir WP Meta SEO, WP Statistics et LiteSpeed Cache.

Etant l'une des plateformes de contenu web les plus populaires au monde, WordPress est toujours dans la ligne de mire, en particulier à travers ses plugins. Comme tout logiciel, les plugins peuvent présenter des vulnérabilités, et la plupart du temps, surtout pour les plus importants d'entre eux, les développeurs sont prompts à corriger les problèmes de sécurité.

Malheureusement, le fait de disposer d'un correctif pour une vulnérabilité n'est pas synonyme de déploiement de ce correctif. Les propriétaires de sites web tardent parfois à installer ces derniers correctifs, ce qui est exactement ce que veulent les pirates lorsqu'ils recherchent des victimes.

Les chercheurs en sécurité de Fastly ont découvert que trois vulnérabilités très graves, CVE-2024-2194, CVE-2023-6961 et CVE-2023-40000, sont actuellement la cible d'une attaque concentrée. Toutes ces vulnérabilités sont très récentes, mais des correctifs sont déjà disponibles pour résoudre les problèmes,

« Ces vulnérabilités se trouvent dans divers plugins WordPress et sont sujettes à des attaques de type cross-site scripting (XSS) stockées et non authentifiées en raison d'une vérification des entrées et d'un échappement de sortie inadéquats, ce qui permet aux attaquants d'injecter des scripts malveillants », expliquent les chercheurs.

« Les charges utiles d'attaque que nous observons et qui ciblent ces vulnérabilités injectent une balise de script qui pointe vers un fichier JavaScript obscurci hébergé sur un domaine externe.

Le rôle du script est simple : aider les attaquants à créer de nouveaux comptes d'administrateur, injecter des portes dérobées dans les sites web et aider les criminels à surveiller les sites web infectés.

Les plugins WP Statistics (version 14.5 et antérieures), WP Meta SEO (version 4.5.12 et antérieures) et LiteSpeed Cache (version 5.7.0.1 et antérieures) sont concernés. Les sites web qui utilisent ces plugins se comptent par millions, et une grande partie d'entre eux utilisent des versions antérieures vulnérables.

Il est conseillé aux administrateurs de sites web de mettre à jour tous les plugins vers les versions les plus récentes et de supprimer tous les dossiers que les anciennes versions des plugins auraient pu créer. Bien entendu, il est également conseillé de procéder à un audit des droits d'utilisateur et d'autres questions similaires, ainsi que d'inspecter tous les fichiers à la recherche de code injecté.