WordPress : attention à cette faille zero-day dans l’extension WPGateway
Une nouvelle faille de sécurité zero-day affecte la dernière version de l'extension "WPGateway" pour WordPress. En exploitant cette vulnérabilité, les cybercriminels peuvent prendre le contrôle total des sites vulnérables.
WPGateway est un plugin pour WordPress qui permet de bénéficier d'un tableau de bord unique pour gérer plusieurs sites sous WordPress. L'extension permet de réaliser des tâches diverses et variées : gestion de la configuration, des thèmes, des extensions, de la sauvegarde, etc...
La dernière version de WPGateway contient une vulnérabilité zero-day associée à la référence CVE-2022-3180, avec un score CVSS de 9.8 sur 10. D'après l'équipe de Wordfence Threat Intelligence, cette vulnérabilité est activement exploitée dans le cadre de cyberattaques. Wordfence a déclaré avoir bloqué plus de 4,6 millions d'attaques basées sur l'exploitation de cette vulnérabilité, pour un total de 280 000 sites pris pour cible, au cours des 30 derniers jours.
Cela peut se comprendre car en exploitant la vulnérabilité, un attaquant peut se créer un compte administrateur lui permettant de récupérer l'accès sur les différents sites managés, le tout sans avoir besoin d'être authentifié.
L'indicateur de compromission le plus courant qui montre qu'un site qui utilise cette extension a été compromis est la présence d'un administrateur avec le nom d'utilisateur "rangex". Par ailleurs, si dans les logs il y a une requête du type "/wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1", cela montre qu'il y a eu une tentative d'exploitation de la vulnérabilité. Même si cela ne signifie pas que votre site est compromis, il convient d'effectuer les vérifications nécessaires (notamment en regardant la liste des comptes administrateurs).
Pour le moment, il n'y a pas de correctif donc il est fortement recommandé de supprimer cette extension si vous l'utilisez, et vérifiez également la présence d'administrateurs malveillants dans le tableau de bord WordPress. Bien sûr, vous pourrez le réactiver par la suite lorsqu'un correctif sera disponible afin de ne pas être exposé pour le moment.
