Attention, WordPress est touché par une faille sérieuse

WordPress est actuellement la cible d’une attaque informatique à grande échelle. Les pirates exploiteraient une faille présente dans les versions 6.0 à 6.8 du SGC (Système de Gestion de Contenu) gratuit, libre et open-source de la fondation WordPress.org. L’attaque a touché File Manager, un plugin qui compte plus de 700 000 utilisateurs. Selon les statistiques, 52% des installations, soit plus de 350 000 sites WordPress, seraient concernées.

Notons que File Manager est un plugin qui permet aux administrateurs de gérer les contenus des sites WordPress. La faille critique serait liée à l’implémentation d’un gestionnaire de fichiers supplémentaire appelé elFinder. Il s’agit d’une bibliothèque open source fournissant les fonctionnalités de base du plugin et une interface utilisateur dédiée.

Un homme portant un tee-shirt WordPress

Photo de Fikret tozak – Unsplash

À l’heure actuelle, il est encore difficile de mesurer l’impact de cette attaque. Néanmoins, une chose est sûre, c’est qu’elle est sérieuse. Les experts en cybersécurité incitent les utilisateurs des versions concernées à migrer vers la version 6.9 dès que possible.

Une faille critique permettant de prendre le contrôle du site

Concrètement, les hackers exploitent la faille pour télécharger des fichiers contenant des scripts cachés dans une image. Ces données leur donnent accès à une interface leur permettant d’exécuter des commandes dans plugins/wp-file-manager/lib/files/.

Dans ce dossier, ils ont ainsi la possibilité de télécharger des scripts PHP pouvant être utilisés pour exécuter des commandes sur les sites.

Chloe Chamberland, chercheure au sein de la société de sécurité Wordfence, a alerté que le plugin infecté permette à un attaquant de manipuler ou de télécharger les fichiers de son choix directement à partir du tableau de bord de WordPress. Une fois que l’hacker a accès à la zone d’administration du site, il pourra modifier ses privilèges.

« Par exemple, un attaquant pourrait accéder à la zone d’administration du site en utilisant un mot de passe compromis, puis accéder à ce plugin et télécharger un script pour (…) potentiellement intensifier son attaque en utilisant une autre faille », a écrit l’experte.

Un code pour protéger le fichier vulnérable par mot de passe

Au moment où l’attaque malveillante a été découverte, les pirates essayaient tout simplement d’ouvrir des sites.

Néanmoins, les experts de NinTechNet, une entreprise de sécurité de sites web à Bangkok, en Thaïlande, ont remarqué un fait intriguant. Les hackers ont créé un code dans le but de protéger l’accès au fichier vulnérable (connector.minimal.php) par un mot de passe.

Cette mesure empêche d’autres pirates d’exploiter la vulnérabilité sur les sites déjà infectés. Elle semble également indiquer que les cybercriminels qui sont à l’origine de la présente attaque comptent y revenir plus tard.

Mots-clés Wordpress