L’inconvénient est le gestionnaire de fichiers, un plugin qui compte plus de 700 000 utilisateurs, dont 52% souffrent.
Les pirates exploitent activement une vulnérabilité qui leur permet d’exécuter des commandes et des scripts malveillants sur des sites web utilisant File Manager, un plugin WordPress avec plus de 700 000 installations actives, ont déclaré les chercheurs mardi. Le mot des attaques est arrivé quelques heures après que la faille de sécurité ait été corrigée.
Les attaquants utilisent l’exploit pour télécharger des fichiers contenant des coquilles web cachées dans une image. De là, ils disposent d’une interface pratique qui leur permet d’exécuter des commandes dans plugins/wp-file-manager/lib/files/, le répertoire où réside le plugin du gestionnaire de fichiers. Bien que cette restriction empêche les pirates d’exécuter des commandes sur des fichiers en dehors du répertoire, les pirates peuvent être en mesure d’infliger des dommages plus importants en téléchargeant des scripts qui peuvent effectuer des actions sur d’autres parties d’un site vulnérable.
NinTechNet, une entreprise de sécurité de sites web à Bangkok, en Thaïlande, a été l’une des premières à signaler les attaques dans la nature. Selon le post, un pirate informatique exploitait la vulnérabilité pour télécharger un script intitulé hardfork.php et l’utilisait ensuite pour injecter du code dans les scripts WordPress /wp-admin/admin-ajax.php и /wp-includes/user.php.
Recouvrement des sites vulnérables à l’échelle
Dans un courriel, Jérôme Bruandet, PDG de NinTechNet, a écrit
Il est un peu trop tôt pour en connaître l’impact, car lorsque nous avons pris connaissance de l’attaque, les pirates informatiques essayaient simplement d’ouvrir des sites web par des moyens détournés. Cependant, une chose intéressante que nous avons remarquée est que les attaquants injectaient du code pour protéger par mot de passe l’accès au fichier vulnérableconnector.minimal.php.dist
afin que d’autres groupes de pirates ne puissent pas exploiter la vulnérabilité sur les sites déjà infectés.Toutes les commandes peuvent être exécutées dans le dossier /lib/files (créer des dossiers, supprimer des fichiers, etc.), mais le plus important est qu’ils peuvent également télécharger des scripts PHP dans ce dossier, puis les exécuter et faire ce qu’ils veulent sur le blog.
Pour l’instant, ils téléchargent « FilesMan », un autre gestionnaire de fichiers souvent utilisé par les pirates. Celui-ci est très obscurci. Dans les prochaines heures et les prochains jours, nous verrons exactement ce qu’ils feront, car s’ils ont protégé le fichier vulnérable par un mot de passe pour empêcher d’autres pirates d’exploiter la vulnérabilité, il est probable qu’ils s’attendent à revenir visiter les sites infectés.
Wordfence, une autre entreprise de sécurité de sites web, a déclaré dans son propre article qu’elle avait bloqué plus de 450 000 tentatives d’exploitation ces derniers jours. Le post indique que les attaquants tentent d’injecter divers fichiers. Dans certains cas, ces fichiers étaient vides, le plus souvent dans le but de rechercher des sites vulnérables et, en cas de succès, d’injecter un fichier malveillant par la suite. Les fichiers téléchargés portaient des noms tels que hardfork.php, hardfind.php et x.php.
« Un tel plugin de gestion de fichiers permettrait à un attaquant de manipuler ou de télécharger les fichiers de son choix directement à partir du tableau de bord de WordPress, ce qui lui permettrait d’augmenter ses privilèges une fois dans la zone d’administration du site », a écrit Chloe Chamberland, chercheur au sein de la société de sécurité Wordfence, dans un article publié mardi. « Par exemple, un attaquant pourrait accéder à la zone d’administration du site en utilisant un mot de passe compromis, puis accéder à ce plugin et télécharger une coquille web pour faire une nouvelle énumération du serveur et potentiellement intensifier son attaque en utilisant un autre exploit ».
52% de 700 000 = potentiel de dommages
Le plugin Gestionnaire de fichiers aide les administrateurs à gérer les fichiers sur les sites utilisant le système de gestion de contenu WordPress. Le plugin contient un gestionnaire de fichiers supplémentaire appelé elFinder, une bibliothèque open source qui fournit les fonctionnalités de base du plugin, ainsi qu’une interface utilisateur pour l’utiliser. La vulnérabilité provient de la manière dont le plugin a implémenté elFinder.
« Le cœur du problème a commencé avec le plugin du gestionnaire de fichiers qui a renommé l’extension du fichier connector.minimal.php.dist
de la bibliothèque elFinder en .php afin qu’il puisse être exécuté directement, même si le fichier connector n’était pas utilisé par le gestionnaire de fichiers lui-même », a expliqué M. Chamberland. « Ces bibliothèques comprennent souvent des fichiers d’exemple qui ne sont pas destinés à être utilisés « tels quels » sans ajouter de contrôles d’accès, et ce fichier n’avait aucune restriction d’accès direct, ce qui signifie que n’importe qui pouvait y accéder. Ce fichier pouvait être utilisé pour lancer une commande elFinder et était relié au fichier elFinderConnector.class.php ».
Sal Aguilar, un entrepreneur qui met en place et sécurise des sites WordPress, s’est rendu sur Twitter pour avertir des attaques qu’il voit.
La faille de sécurité se trouve dans les versions du gestionnaire de fichiers allant de 6.0 à 6.8. Les statistiques de WordPress montrent qu’actuellement environ 52 % des installations sont vulnérables. Avec plus de la moitié de la base installée de File Manager, qui compte 700 000 sites vulnérables, le risque de dommages est élevé. Les sites utilisant l’une de ces versions devraient être mis à jour vers la version 6.9 dès que possible.