WordPress est à nouveau la cible de cyberpirates qui exploitent une faille critique du plugin LiteSpeed Cache leur permettant de créer des administrateurs de sites dont ils prennent le contrôle.
Si WordPress est le plus populaire des CMS, il est aussi le terrain de chasse favori des hackers, qui n'utilisent pas ses plugins de la même manière que les créateurs de sites Web.
En effet, après une faille découverte au sein de LayerSlider en avril, précédée de la vulnérabilité de LiteSpeed en mars et du thème Bricks en février, le mois de mai 2024 s'annonce, hélas, riche en failles pour Wordpress, avec la dernière en date dénichée par les chercheurs de l'équipe de sécurité de WPScan qui vient affaiblir le plugin LiteSpeed Cache.
Comment les hackers créent des administrateurs « wpsupp-user » ou « wp-configuser »
Si vous constatez qu'un nouvel admin de votre site Web WordPress est apparu sous le nom de « wpsupp-user » ou « wp-configuser », c'est mauvais signe. Car c'est ainsi que les hackers nomment les administrateurs qu'ils créent en injectant du code JavaScript vérolé soit dans des fichiers, soit dans la base de données du site. Et si en plus, l'option « litespeed.admin_display.messages » contient la chaîne « eval(atob(Strings.fromCharCode », alors c'est la double-peine, votre base de données est également touchée.
À l'origine de cette contamination, la faille de script intersite non authentifiée, CVE-2023-40000, qui a reçu la note très élevée de 8,3 sur 10, la classant directement au rang de « très élevée ». C'est donc cette faille que les hackers exploitent pour injecter leur code et créer de faux admins de site.
Et bien que cette faille ne soit exploitable que sur les versions du plugin antérieures à la 5.7.0.1, WPScan indique qu'encore 1 835 000 sites l'utilisent encore et sont donc potentiellement attaqués.
Le compte administrateur, le Graal des hackers de sites WordPress
Si les cyberpirates cherchent autant à créer des comptes administrateurs, ça n'est pas que pour la gloire. En effet, tous les admis de sites Web, quel que soit leur CMS ou leur hébergeur, sont les maîtres des clés. Un compte administrateur permet en effet à son propriétaire d'avoir la mainmise sur l'ensemble des données du site, du CMS à la gestion du contenu et des plugins, en passant par des données plus sensibles, telles que des adresses mail ou des identifiants. Soit autant de permissions que les hackers vont utiliser à leur sauce. Ils vont pouvoir ainsi à leur gré distribuer des malwares, faire de la redirection vers ses sites frauduleux, dissimuler des malwares dans les bases de données ou via du code, voler des données sensibles et bien sûr, lancer des campagnes de phishing.
C'est donc tout naturellement que dernièrement, l'équipe de Wallarm a découvert qu'une autre faille critique, la CVE-2024-2876 d'une note de 9,8 sur 10, au sein d'un autre plugin WordPress, « Email Subscribers » pour les versions antérieures à la 5.7.14. Là encore, le but était de créer des comptes administrateur.
Les deux sociétés recommandent un grand nettoyage de printemps des sites touchés, à savoir la restauration totale de la base de données et des fichiers pour effectuer une sauvegarde vierge de toute trace des attaques, la suppression des comptes admins vérolés, la réinitialisation de tous les identifiants des comptes, et bien entendu, une surveillance accrue de tout nouveau compte administrateur suspect. Une tâche énorme confiée à… un administrateur.
26 mars 2024 à 16h52
Source : Bleeping Computer, WPScan, Wallarm