Une faille de sécurité a été découverte dans Sécurité vraiment simpleun plugin WordPress axé sur la sécurité. Le plugin permet notamment de bénéficier d’une couche d’authentification à deux facteurs et d’une détection de vulnérabilités en temps réel.
Selon des chercheurs de Clôture de motsautre plugin WordPress spécialisé dans la sécurité, la faille Really Simple Security permet à un attaquant distant deobtenir un accès administrateur complet. En exploitant la vulnérabilité, il est effectivement possible de “contourner l’authentification et accéder aux comptes de tout utilisateur, y compris les administrateurs”.
Aux yeux de Clôture de motsil s’agit de “l’une des vulnérabilités les plus graves que nous ayons signalées au cours de nos 12 années d’histoire en tant que fournisseur de sécurité pour WordPress”. Pour exploiter la faille, les attaquants peuvent utiliser des scripts automatisés. Nos confrères de Bleeping Computer craignent donc de voir apparaître « campagnes de rachat de sites Web à grande échelle ».
A lire aussi : Près de 100 sites français compromis – un hacker a installé une porte dérobée
Des millions de sites concernés et un correctif
La vulnérabilité affecte les versions gratuite et Pro du logiciel, allant des itérations 9.0.0 à 9.1.1.1. La version gratuite du plugin est utilisée par plus de quatre millions de sites Web.
Sans surprise, les développeurs derrière Really Simple Security ont rapidement déployé des correctifs suite à la découverte de Clôture de mots. Avec le soutien des équipes WordPress, ils ont pousséune version 9.1.2 du plugin il y a quelques jours. Pour se protéger, il est conseillé aux utilisateurs d’installer la dernière version du plugin dès que possible. Jusqu’à présent, plus de 450 000 sites ont pris le temps d’installer le correctif. Plus de trois millions de sites Web concernés sont toujours vulnérables…
Jusqu’à ce que tous les administrateurs installent le correctif, il est possible que les cybercriminels exploitent la faille pour prendre le contrôle d’un site internet. Une fois le site entre leurs mains, ils seront libres d’en faire ce qu’ils veulent. Ils peuvent notamment afficher des arnaques, des pages de phishing ou des liens forçant l’installation de malwares. Dans le passé, des pirates informatiques ont utilisé des sites WordPress compromis pour propager des logiciels malveillants capables de voler des crypto-monnaies. C’est la porte ouverte à tous les abus.
Dans ce contexte, Clôture de mots encourager “Les fournisseurs d’hébergement doivent forcer la mise à jour de leurs clients et effectuer des analyses sur leurs systèmes de fichiers d’hébergement pour s’assurer qu’aucun client n’exécute une version non corrigée de ce plugin”.
Ce n’est pas la première fois cette année qu’un plugin WordPress populaire met en danger une montagne de sites Web. En début d’année, une vulnérabilité dans le plugin Popup Builder a entraîné le piratage de milliers de sites. Cette faille a été exploitée à plusieurs reprises avant qu’une mise à jour ne corrige la situation. Plus récemment, c’est le plugin LiteSpeed Cache qui a mis en danger plus de six millions de sites WordPress.
???? Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
Source :
Clôture de mots
