Le 31 mai 2021, l’équipe Wordfence Threat Intelligence a découvert une vulnérabilité critique de téléchargement de fichiers activement exploitée dans Fancy Product Designer, un plugin WordPress installé sur plus de 17 000 sites.

Nous avons pris contact avec le développeur du plugin le même jour et avons reçu une réponse dans les 24 heures. Nous avons envoyé la divulgation complète le jour même où nous avons reçu une réponse, le 1er juin 2021. En raison de l’attaque active de cette vulnérabilité, nous divulguons publiquement avec un minimum de détails, même si elle n’a pas encore été corrigée afin d’alerter la communauté sur prendre des précautions pour protéger leurs sites.

Alors que la protection de téléchargement de fichiers intégrée au pare-feu Wordfence bloque suffisamment la majorité des attaques contre cette vulnérabilité, nous avons déterminé qu’un contournement était possible dans certaines configurations. En tant que tel, nous avons publié une nouvelle règle de pare-feu pour nos clients premium le 31 mai 2021. Les sites exécutant toujours la version gratuite de Wordfence recevront la règle après 30 jours, le 30 juin 2021.

Comme il s’agit d’un Critical 0-day sous attaque active et qu’il est exploitable dans certaines configurations même si le plugin a été désactivé, nous exhortons toute personne utilisant ce plugin à désinstaller complètement Fancy Product Designer, si possible, jusqu’à ce qu’une version corrigée soit disponible.


La description: Téléchargement de fichiers arbitraires non authentifiés et exécution de code à distance
Plugin concerné : Concepteur de produits fantaisie
Plugin Slug : créateur-de-produits-fantaisie
Versions concernées :
Identifiant CVE : CVE-2021-24370
Note CVSS : 9.8 (Critique)
Vecteur CVSS : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Des chercheurs: Charles Sweethill/Ram Gall
Version entièrement corrigée: En attente

Fancy Product Designer est un plugin WordPress qui offre aux clients la possibilité de télécharger des images et des fichiers PDF à ajouter aux produits. Malheureusement, alors que le plugin avait mis en place des contrôles pour empêcher le téléchargement de fichiers malveillants, ces contrôles étaient insuffisants et pouvaient facilement être contournés, permettant aux attaquants de télécharger des fichiers PHP exécutables sur n’importe quel site avec le plugin installé. Cela a effectivement permis à tout attaquant de réaliser l’exécution de code à distance sur un site impacté, permettant une prise de contrôle complète du site.

Nous fournirons une explication technique plus détaillée de la vulnérabilité une fois qu’elle aura été corrigée.

Indicateurs de compromis

Dans la plupart des cas, une attaque réussie aboutit à un fichier avec un identifiant unique et une extension PHP, qui apparaîtra dans un sous-dossier de l’un ou l’autre.
wp-admin
ou alors
wp-content/plugins/fancy-product-designer/inc
avec la date à laquelle le fichier a été téléchargé. Par exemple:

wp-content/plugins/fancy-product-designer/inc/2021/05/30/4fa00001c720b30102987d980e62d5e4.php

ou alors

wp-admin/2021/05/31/1d4609806ff0f4e89a3fb5fa35678fa0.php

La majorité des attaques contre cette vulnérabilité proviennent des adresses IP suivantes :

69.12.71.82
92.53.124.123
46.53.253.152

Nos recherches indiquent que cette vulnérabilité n’est probablement pas attaquée à grande échelle mais qu’elle est exploitée depuis au moins le 16 mai 2021.

Chronologie

31 mai 2021 15h05 UTC – L’analyste de la sécurité de Wordfence Charles Sweethill trouve des preuves d’une vulnérabilité inconnue auparavant lors de la suppression de logiciels malveillants et d’une enquête médico-légale nettoyage de chantier et commence à enquêter sur les vecteurs d’attaque possibles.
31 mai 2021 15h45 UTC – Charles informe l’équipe de Wordfence Threat Intelligence et une enquête complète commence.
31 mai 2021 16:20 UTC – Nous développons une première preuve de concept et commençons à travailler sur une règle de pare-feu.
31 mai 2021 17:06 UTC – Nous entamons le contact avec le développeur du plugin.
31 mai 2021 18:59 UTC – Nous publions la règle de pare-feu protégeant contre cette vulnérabilité pour les clients Wordfence Premium.
1 juin 2021 09:03 UTC – Le développeur du plugin répond à notre premier contact.
1 juin 2021 13:35 UTC – Nous envoyons une divulgation complète.
30 juin 2021 – La règle de pare-feu devient disponible pour les utilisateurs gratuits de Wordfence.

Conclusion

Dans l’article d’aujourd’hui, nous avons couvert une vulnérabilité critique de 0 jour dans Fancy Product Designer qui est activement attaquée et utilisée pour télécharger des logiciels malveillants sur des sites sur lesquels le plug-in est installé.

Pendant que Wordfence Premium les utilisateurs doivent être protégés contre cette vulnérabilité, nous exhortons tous les utilisateurs de ce plugin à le désinstaller complètement jusqu’à ce qu’un correctif soit disponible, car il est possible dans certaines configurations d’exploiter la vulnérabilité même si le plugin est désactivé.

Nous continuerons de surveiller la situation et de faire un suivi au fur et à mesure que de plus amples informations seront disponibles.

Remerciements particuliers à l’analyste de sécurité de Wordfence, Charles Sweethill, pour avoir découvert la vulnérabilité, déterminé les vecteurs et indicateurs de compromission les plus probables et testé la règle de pare-feu pendant les vacances.


Source link