WordPress : depuis ce week-end, les pirates exploitent massivement une faille dans WooCommerce Payments
Si vous utilisez l'extension WooCommerce Payments pour WordPress, vous devez vérifier les mises à jour en urgence ! Les pirates exploitent massivement une faille de sécurité critique découverte en mars dernier ! Faisons le point.
Très populaire, l'extension WooCommerce Payments compte environ 600 000 installations actives au niveau mondial. Sur un site WordPress, elle permet d'ajouter la prise en charge des paiements par carte bancaire aux utilisateurs de l'extension WooCommerce, cette dernière étant utilisée pour transformer WordPress en boutique en ligne.
Découverte en mars 2023, la faille de sécurité CVE-2023-28121 permet à un attaquant d'obtenir un accès administrateur au site affecté. D'après Wordfence, qui avait mis en ligne une alerte à ce sujet, cette vulnérabilité permet à un "attaquant non authentifié d'usurper l'identité d'un administrateur et de prendre complètement le contrôle d'un site web sans aucune interaction avec l'utilisateur, et sans recourir à de l'ingénierie sociale".
Compte tenu de la criticité de la vulnérabilité et du nombre de sites potentiellement impactés, WordPress avait pris la décision de pousser automatiquement cette mise à jour sur les sites. Toutefois, il convient aux administrateurs de vérifier la version utilisée par l'extension WooCommerce Payments sur leur site.
Les versions 4.8.0 à 5.6.1 sont affectées par cette faille de sécurité. Pour vous protéger, vous devez utiliser à minima l'une de ces versions (ou une version supérieure) : 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 et 5.6.2.
De nombreuses attaques depuis ce week-end
Les chercheurs en sécurité de chez RCE Security ont analysé la faille de sécurité et ils ont mis en ligne un article technique à son sujet. Cet article explique notamment comment exploiter la faille de sécurité, simplement en ajoutant l'en-tête "X-WCPAY-PLATFORM-CHECKOUT-USER" dans la requête HTTP, en l'associant au nom du compte qu'ils souhaitent compromettre. Cet article est également accompagné par un exploit PoC : ce qui est très intéressant pour les pirates informatiques, car ils ont toutes les clés pour exploiter cette faille de sécurité.
Samedi dernier, l'entreprise Wordfence a détectée de nombreuses cyberattaques à destination des sites WordPress, dans l'objectif d'exploiter la vulnérabilité CVE-2023-28121. Wordfence explique : "Les attaques à grande échelle contre la vulnérabilité, appelée CVE-2023-28121, ont commencé le jeudi 14 juillet 2023 et se sont poursuivies tout au long du week-end, atteignant un pic de 1,3 million d'attaques contre 157 000 sites le samedi 16 juillet 2023." - Ces attaques sont précédées par une phase de scans (pour détecter la présence de ce plugin), avec notamment l'adresse IP "194.169.175.93" qui a été utilisée pour scanner plus de 213 000 sites.
Wordfence explique aussi que les cybercriminels exploitent cette faille de sécurité pour installer le plugin WP Console dans le but de créer un compte administrateur et de l'utiliser pour exécuter du code PHP. Ainsi, les pirates peuvent déployer une porte dérobée sur le serveur où est hébergé WordPress.
Dès à présent, vous devez vérifier la version de WooCommerce Payments sur votre site WordPress et faire la mise à jour si elle n'est pas déjà effectuée. Par ailleurs, vérifiez la liste des comptes administrateurs de votre WordPress.
