{"id":18804,"date":"2020-09-03T12:15:22","date_gmt":"2020-09-03T09:15:22","guid":{"rendered":"http:\/\/content.freeplanetvpn.com\/?p=18804"},"modified":"2022-03-28T23:58:55","modified_gmt":"2022-03-28T20:58:55","slug":"les-pirates-informatiques-exploitent-une-faille-critique-affectant-plus-de-350-000-sites-wordpress","status":"publish","type":"post","link":"https:\/\/freevpnplanet.com\/fr\/blog\/les-pirates-informatiques-exploitent-une-faille-critique-affectant-plus-de-350-000-sites-wordpress\/","title":{"rendered":"Les pirates informatiques exploitent les vuln\u00e9rabilit\u00e9s critiques des sites WordPress"},"content":{"rendered":"

\"\"<\/p>\n

L’inconv\u00e9nient est le gestionnaire de fichiers, un plugin qui compte plus de 700 000 utilisateurs, dont 52% souffrent.<\/p>\n

Les pirates exploitent activement une vuln\u00e9rabilit\u00e9 qui leur permet d’ex\u00e9cuter des commandes et des scripts malveillants sur des sites web utilisant File Manager<\/a>, un plugin WordPress avec plus de 700 000 installations actives, ont d\u00e9clar\u00e9 les chercheurs mardi. Le mot des attaques est arriv\u00e9 quelques heures apr\u00e8s que la faille de s\u00e9curit\u00e9 ait \u00e9t\u00e9 corrig\u00e9e.<\/p>\n

Les attaquants utilisent l’exploit pour t\u00e9l\u00e9charger des fichiers contenant des coquilles web cach\u00e9es dans une image. De l\u00e0, ils disposent d’une interface pratique qui leur permet d’ex\u00e9cuter des commandes dans plugins\/wp-file-manager\/lib\/files\/<\/span>, le r\u00e9pertoire o\u00f9 r\u00e9side le plugin du gestionnaire de fichiers. Bien que cette restriction emp\u00eache les pirates d’ex\u00e9cuter des commandes sur des fichiers en dehors du r\u00e9pertoire, les pirates peuvent \u00eatre en mesure d’infliger des dommages plus importants en t\u00e9l\u00e9chargeant des scripts qui peuvent effectuer des actions sur d’autres parties d’un site vuln\u00e9rable.<\/p>\n

NinTechNet, une entreprise de s\u00e9curit\u00e9 de sites web \u00e0 Bangkok, en Tha\u00eflande, a \u00e9t\u00e9 l’une des premi\u00e8res \u00e0 signaler les attaques dans la nature<\/a>. Selon le post, un pirate informatique exploitait la vuln\u00e9rabilit\u00e9 pour t\u00e9l\u00e9charger un script intitul\u00e9 hardfork.php et l’utilisait ensuite pour injecter du code dans les scripts WordPress \/wp-admin\/admin-ajax.php \u0438 \/wp-includes\/user.php.<\/p>\n

Recouvrement des sites vuln\u00e9rables \u00e0 l’\u00e9chelle<\/h2>\n

Dans un courriel, J\u00e9r\u00f4me Bruandet, PDG de NinTechNet, a \u00e9crit
\nIl est un peu trop t\u00f4t pour en conna\u00eetre l’impact, car lorsque nous avons pris connaissance de l’attaque, les pirates informatiques essayaient simplement d’ouvrir des sites web par des moyens d\u00e9tourn\u00e9s. Cependant, une chose int\u00e9ressante que nous avons remarqu\u00e9e est que les attaquants injectaient du code pour prot\u00e9ger par mot de passe l’acc\u00e8s au fichier vuln\u00e9rable connector.minimal.php.dist<\/code> afin que d’autres groupes de pirates ne puissent pas exploiter la vuln\u00e9rabilit\u00e9 sur les sites d\u00e9j\u00e0 infect\u00e9s.<\/p>\n

Toutes les commandes peuvent \u00eatre ex\u00e9cut\u00e9es dans le dossier \/lib\/files (cr\u00e9er des dossiers, supprimer des fichiers, etc.), mais le plus important est qu’ils peuvent \u00e9galement t\u00e9l\u00e9charger des scripts PHP dans ce dossier, puis les ex\u00e9cuter et faire ce qu’ils veulent sur le blog.<\/p>\n

Pour l’instant, ils t\u00e9l\u00e9chargent “FilesMan”, un autre gestionnaire de fichiers souvent utilis\u00e9 par les pirates. Celui-ci est tr\u00e8s obscurci. Dans les prochaines heures et les prochains jours, nous verrons exactement ce qu’ils feront, car s’ils ont prot\u00e9g\u00e9 le fichier vuln\u00e9rable par un mot de passe pour emp\u00eacher d’autres pirates d’exploiter la vuln\u00e9rabilit\u00e9, il est probable qu’ils s’attendent \u00e0 revenir visiter les sites infect\u00e9s.<\/p><\/blockquote>\n

Wordfence, une autre entreprise de s\u00e9curit\u00e9 de sites web, a d\u00e9clar\u00e9 dans son propre article<\/a> qu’elle avait bloqu\u00e9 plus de 450 000 tentatives d’exploitation ces derniers jours. Le post indique que les attaquants tentent d’injecter divers fichiers. Dans certains cas, ces fichiers \u00e9taient vides, le plus souvent dans le but de rechercher des sites vuln\u00e9rables et, en cas de succ\u00e8s, d’injecter un fichier malveillant par la suite. Les fichiers t\u00e9l\u00e9charg\u00e9s portaient des noms tels que hardfork.php, hardfind.php et x.php.<\/p>\n

“Un tel plugin de gestion de fichiers permettrait \u00e0 un attaquant de manipuler ou de t\u00e9l\u00e9charger les fichiers de son choix directement \u00e0 partir du tableau de bord de WordPress, ce qui lui permettrait d’augmenter ses privil\u00e8ges une fois dans la zone d’administration du site”, a \u00e9crit Chloe Chamberland, chercheur au sein de la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 Wordfence, dans un article publi\u00e9 mardi. “Par exemple, un attaquant pourrait acc\u00e9der \u00e0 la zone d’administration du site en utilisant un mot de passe compromis, puis acc\u00e9der \u00e0 ce plugin et t\u00e9l\u00e9charger une coquille web pour faire une nouvelle \u00e9num\u00e9ration du serveur et potentiellement intensifier son attaque en utilisant un autre exploit”.<\/p>\n

52% de 700 000 = potentiel de dommages<\/h3>\n

Le plugin Gestionnaire de fichiers aide les administrateurs \u00e0 g\u00e9rer les fichiers sur les sites utilisant le syst\u00e8me de gestion de contenu WordPress. Le plugin contient un gestionnaire de fichiers suppl\u00e9mentaire appel\u00e9 elFinder, une biblioth\u00e8que open source qui fournit les fonctionnalit\u00e9s de base du plugin, ainsi qu’une interface utilisateur pour l’utiliser. La vuln\u00e9rabilit\u00e9 provient de la mani\u00e8re dont le plugin a impl\u00e9ment\u00e9 elFinder.<\/p>\n

Pour prot\u00e9ger vos donn\u00e9es contre la surveillance d’Internet et les garder anonymes – utilisez Planet FreeVPN<\/a> sur vos appareils d\u00e8s maintenant!<\/div><\/div>\n

“Le c\u0153ur du probl\u00e8me a commenc\u00e9 avec le plugin du gestionnaire de fichiers qui a renomm\u00e9 l’extension du fichier connector.minimal.php.dist<\/code> de la biblioth\u00e8que elFinder en .php afin qu’il puisse \u00eatre ex\u00e9cut\u00e9 directement, m\u00eame si le fichier connector n’\u00e9tait pas utilis\u00e9 par le gestionnaire de fichiers lui-m\u00eame”, a expliqu\u00e9 M. Chamberland. “Ces biblioth\u00e8ques comprennent souvent des fichiers d’exemple qui ne sont pas destin\u00e9s \u00e0 \u00eatre utilis\u00e9s “tels quels” sans ajouter de contr\u00f4les d’acc\u00e8s, et ce fichier n’avait aucune restriction d’acc\u00e8s direct, ce qui signifie que n’importe qui pouvait y acc\u00e9der. Ce fichier pouvait \u00eatre utilis\u00e9 pour lancer une commande elFinder et \u00e9tait reli\u00e9 au fichier elFinderConnector.class.php”.<\/p>\n

Sal Aguilar, un entrepreneur qui met en place et s\u00e9curise des sites WordPress, s’est rendu sur Twitter<\/a> pour avertir des attaques qu’il voit.<\/p>\n

“Oh merde !!!” a-t-il \u00e9crit. “La vuln\u00e9rabilit\u00e9 du gestionnaire de fichiers WP est S\u00c9RIEUSE. Elle se propage rapidement et je vois des centaines de sites \u00eatre infect\u00e9s. Des logiciels malveillants sont t\u00e9l\u00e9charg\u00e9s sur \/wp-content\/plugins\/wp-file-manager\/lib\/files.”<\/div><\/div>\n

La faille de s\u00e9curit\u00e9 se trouve dans les versions du gestionnaire de fichiers allant de 6.0 \u00e0 6.8. Les statistiques de WordPress<\/a> montrent qu’actuellement environ 52 % des installations sont vuln\u00e9rables. Avec plus de la moiti\u00e9 de la base install\u00e9e de File Manager, qui compte 700 000 sites vuln\u00e9rables, le risque de dommages est \u00e9lev\u00e9. Les sites utilisant l’une de ces versions devraient \u00eatre mis \u00e0 jour vers la version 6.9 <\/a>d\u00e8s que possible.<\/p>\n

\n