En cause : une mauvaise implémentation technique dans un plugin massivement utilisé, censé renforcer la sécurité des comptes et des connexions.
Décidément, ces dernières semaines mettent les gestionnaires de sites WordPress à rude épreuve. Après les vulnérabilités découvertes dans Jetpack et LiteSpeed Cache, respectivement installés sur 27 millions et 6 millions de sites, c’est au tour de Really Simple Security (ex-Really Simple SSL) d’être pointé du doigt. Les équipes de Wordfence ont découvert une faille critique dans ce plugin populaire, permettant à des hackers de contourner l’A2F et d’obtenir un accès administrateur complet à distance. Si un correctif a rapidement été publié, les sites qui n’ont pas appliqué la mise à jour restent exposés à des attaques potentielles.
4 millions de comptes menacés
Détectée début novembre par István Márton, chercheur chez Wordfence, cette faille critique (CVE-2024-10924) affiche un score CVSS de 9.8. Autant dire qu’elle coche toutes les cases pour devenir un cauchemar. Elle affecte les versions 9.0.0 à 9.1.1.1 de Really Simple Security, un plugin utilisé par plus de quatre millions de sites pour sécuriser leurs connexions et intégrer des outils comme l’authentification à deux facteurs (A2F). Ironie du sort, c’est précisément cette dernière fonction qui a ouvert la porte aux pirates.
Dans le détail, une mauvaise implémentation des actions REST API dans le plugin permet à des attaquants d’envoyer des requêtes spécialement conçues pour contourner l’A2F et accéder directement aux comptes, y compris ceux disposant de privilèges administrateur. En d’autres termes, la protection censée vous protéger des intrusions leur déroule littéralement le tapis rouge.
Mais ce qui inquiète encore plus les chercheurs, c’est l’automatisation possible de cette faille. En utilisant des scripts malveillants, des pirates peuvent scanner des milliers de sites en quelques minutes pour repérer les cibles vulnérables et les compromettre en masse. Un scénario déjà vu, à plus petite échelle, avec les campagnes de ClickFix qui avaient détourné 6 000 sites WordPress le mois dernier. Sauf qu’ici, on ne compte plus en milliers, mais en millions.
Les particuliers ne sont pas les seuls à devoir s’inquiéter. Associations, PME, institutions publiques… Tous ceux et toutes celles qui s’appuient sur ce plugin pour protéger leurs sites sont exposés. Les conséquences sont relativement classiques, allant du vol de données sensibles au détournement de pages pour diffuser des malwares ou mener des campagnes de phishing.
Un patch rapide, mais une vigilance nécessaire
Il faut reconnaître aux développeurs de Really Simple Security leur réactivité : la version 9.1.2 intégrant le correctif est arrivée presque immédiatement. Mais un patch, aussi rapide soit-il, ne protège que ceux qui l’installent. C’est pourquoi Wordfence a recommandé aux hébergeurs de forcer la mise à jour sur les sites concernés. Une mesure peu fréquente, mais ici parfaitement justifiée.
Pour les administrateurs et administratrices, le mot d’ordre est simple : vérifiez que votre plugin est bien à jour. Si ce n’est pas le cas, installez sans tarder la version 9.1.2 depuis votre tableau de bord WordPress. Prenez aussi l’habitude de surveiller vos extensions : désactivez celles que vous n’utilisez plus, supprimez celles qui ne reçoivent plus de mises à jour, et restez attentif aux notifications de sécurité.
Car la sécurité d’un site n’est jamais acquise. Tarder à appliquer une mise à jour, c’est laisser la porte ouverte aux pirates. Et eux, ils n’attendent jamais.
Source : WordFence
18 novembre 2024 à 15h14
