Les pirates exploitent activement une vulnérabilité qui leur permet d'exécuter des commandes et des scripts malveillants sur des sites web utilisant File Manager (gestionnaire de fichiers), un plugin WordPress avec plus de 700 000 installations actives, ont déclaré les chercheurs hier. L’annonce des attaques est arrivée quelques heures après que la faille de sécurité ait été corrigée.
NinTechNet, une entreprise de Bangkok spécialisée dans la sécurité des sites web, a été l'une des premières à signaler les attaques en ligne. Selon sa publication, un pirate informatique exploitait la vulnérabilité pour télécharger un script intitulé hardfork.php et l'utilisait ensuite pour injecter du code dans les scripts WordPress /wp-admin/admin-ajax.php et /wp-includes/user.php.
« Un tel plugin de gestion de fichiers permettrait à un attaquant de manipuler ou de télécharger les fichiers de son choix directement à partir du tableau de bord de WordPress, ce qui lui permettrait d'augmenter ses privilèges une fois dans la zone d'administration du site », a écrit Chloe Chamberland, chercheur au sein de la société de sécurité Wordfence, dans un article publié mardi. « Par exemple, un attaquant pourrait accéder à la zone d'administration du site en utilisant un mot de passe compromis, puis accéder à ce plugin et télécharger une coquille web pour faire une nouvelle énumération du serveur et éventuellement intensifier son attaque en utilisant un autre exploit », ajoute-t-elle.
Le plugin Gestionnaire de fichiers aide les administrateurs à gérer les fichiers sur les sites utilisant le système de gestion de contenu WordPress. Le plugin contient un gestionnaire de fichiers supplémentaire appelé elFinder, une bibliothèque open source qui fournit les fonctionnalités de base du plugin, ainsi qu'une interface utilisateur pour l'utiliser. La vulnérabilité provient de la manière dont le plugin a implémenté elFinder.
On nous demande régulièrement pourquoi les sites WordPress sont piratés. Dans cet article, nous décrivons les principales raisons pour lesquelles votre gestionnaire de contenu a été piraté afin que vous puissiez éviter certaines erreurs et protéger votre site.
