LiteSpeed, un plugin WordPress très populaire s’est révélé vulnérable à une attaque qui pourrait permettre aux hackers de voler des informations sensibles.
Une faille très sensible a été identifiée dans le plugin LiteSpeed de l'hébergeur WordPress, qui a mis en danger pas moins de 5 millions de sites web. Mise au jour par les experts en cybersécurité de Patchstack, la faille du plugin LiteSpeed représente un risque important pour la sécurité des sites WordPress, car elle permet potentiellement à des personnes non autorisées d'accéder à des informations sensibles, telles que celles exploitées par la cyberattaque de France Travail le 13 mars 2024.
LiteSpeed, plugin d'accélération de site Web, est l'un des plugins de coaching les plus populaires sur WordPress. Il propose un certain nombre de fonctionnalités d'optimisation différentes pour les sites web WordPress et un cache au niveau du serveur. De plus, il est également compatible avec d’autres plugins, tels que WooCommerce.
Cette révélation intervient quelques mois seulement après la publication par WordPress d'une mise à jour de l'exécution de code critique destinée à renforcer la sécurité de ses sites web. La faille du plugin LiteSpeed, identifiée sous le nom de CVE 2023-40000, permet aux pirates de procéder à une escalade des privilèges sur un site WordPress et de voler toutes les informations de leur choix, et ce, en envoyant une seule requête HTTP.
Un code « mal nettoyé » à l'origine de la faille
La vulnérabilité du plugin LiteSpeed a été identifiée par un problème de script intersite (XSS) stocké et non autorisé sur l'ensemble du site. Cette même faille avait été repérée auparavant dans le logiciel de messagerie Zimbra Collaboration. La principale lacune de sécurité de ce plugin découle du défaut de vérification des entrées par les utilisateurs. « Ce plugin souffre d'une vulnérabilité non authentifiée stockée sur l'ensemble du site [cross-site scripting] et pourrait permettre à n'importe quel utilisateur non authentifié de voler des informations sensibles ou, dans ce cas, d'escalader les privilèges sur le site WordPress en effectuant une seule requête HTTP », a déclaré Rafie Muhammad, chercheur chez Patchstack.
Le mécanisme d'échappement de la sortie a également été pointé du doigt dans cette faille du plugin LiteSpeed, en particulier dans la fonction update_cdn_status. Cette fonctionnalité, destinée à informer les administrateurs, offre une porte d'entrée pour l'injection de scripts intersites (XSS). Il suffit à tout utilisateur disposant d'un accès à wp-admin de déclencher cette vulnérabilité qui peut être exploitée facilement grâce à l'installation par défaut du plugin LiteSpeed.
Par ailleurs, une faille XSS similaire avait été signalée précédemment par WordPress. Curieusement, cette faille du plugin LiteSpeed, désignée CVE-2023-4372, partageait la même origine : un manque de désinfection des entrées utilisateur et d'échappement des sorties. Heureusement, la version 5.7 du correctif a rectifié cette faille dans le plugin LiteSpeed. Il semble que la leçon n'a pas été retenue.
Un correctif publié, mais Wordpress reste vulnérable aux attaques
La dernière version de LiteSpeed Cache, la 6.1, a été publiée le 5 février. Depuis sa découverte, les développeurs ont rapidement réagi en publiant un correctif. Ce correctif, disponible depuis octobre de l'année dernière, est fortement recommandé aux utilisateurs. Il est d'ailleurs recommandé de mettre à jour leurs plugins vers au moins la version 5.7.0.1 pour parer à d'éventuelles nouvelles attaques.
WordPress, étant le premier créateur de sites web au monde, d'autant plus avec l'aide récente de l'intelligence artificielle. Il anime environ la moitié de l'Internet mondial. Et bien sûr, cette popularité en fait une cible de choix pour les pirates informatiques. Ils cherchent constamment des moyens d'accéder aux bases de données, où ils peuvent voler des données sensibles ou lancer des campagnes publicitaires malveillantes et du phishing. Bien que WordPress soit généralement considéré comme sûr, ses thèmes et plugins, souvent mal entretenus, sont souvent le maillon faible.
Les plugins, en particulier ceux non commerciaux, sont souvent développés par de petites équipes ou des individus, et parfois ils sont abandonnés et mal entretenus. Cette situation en fait une cible idéale pour les attaques.
18 novembre 2024 à 15h14
Source : Security Boulevard, TechRadar, Wordpress, PatchStack