L’équipe Wordfence Threat Intelligence a découvert des vulnérabilités dans le plug-in Advanced Access Manager installé sur plus de 100 000 sites WordPress. Un contournement d’autorisation de haute gravité peut entraîner une élévation de privilèges et une reprise du site. Des vulnérabilités critiques trouvées dans le plugin Quiz and Survey Master pourraient également conduire à la prise de contrôle de sites sur les 30000 sites WP utilisant la version vulnérable de ce plugin.

Des milliers de sites se sont cassés après la mise à jour vers WordPress 5.5 en raison de la prise en charge obsolète de jQuery Migrate, et la publication du plugin Enable jQuery Migrate Helper a atteint 10000 installations actives pour aider à corriger ces sites en utilisant des thèmes ou des plugins plus anciens.

À mesure que la valeur de la crypto-monnaie augmente, nous assistons à une vague de nouvelles escroqueries et campagnes de piratage avec la crypto-monnaie comme force motrice, comme le récent piratage de Twitter et une campagne de botnet appelée Fritzfrog qui enfreint les serveurs SSH pour exploiter Monero.

Voici les horodatages et les liens au cas où vous voudriez sauter, et une transcription est ci-dessous.
0:10 Vulnérabilité de gravité élevée Corrigé dans Advanced Access Manager
2:05 Vulnérabilités critiques corrigées dans Plug-in Quiz et Survey Master
3:43 Les sites mettant à jour vers WordPress 5.5 se cassent en raison migration jQuery obsolète, Nouveau plugin publié comme solution
6:27 Campagne Fritzfrog violation des serveurs SSH, similaire à piratage de crypto-monnaie précédent campagnes

Trouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 83

Scott Miller:
Salut tout le monde, c’est Scott de Wordfence. Voici Think Like a Hacker, le podcast hebdomadaire couvrant la sécurité et l’innovation WordPress. Passons directement aux histoires de cette semaine.

Notre première histoire de la semaine est la vulnérabilité de haute gravité corrigée dans le plugin Advanced Access Manager, Ram Gall, et notre équipe Threat Intel ici chez Wordfence a trouvé des vulnérabilités dans le plugin Advanced Access Manager, qui est installé sur plus de 100000 sites.

Cette vulnérabilité de contournement d’autorisation de haute gravité pourrait entraîner une élévation de privilèges et une prise de contrôle du site. Ce plugin permet aux utilisateurs de se connecter via l’API REST de WordPress et malheureusement, les points de terminaison REST des plugins ont été définis pour répondre à une connexion réussie avec une copie codée JSON de toutes les métadonnées sur l’utilisateur, ce qui peut potentiellement exposer les informations des utilisateurs à un attaquant ou utilisateur à faibles privilèges.

Ces informations incluent des éléments tels que le mot de passe haché de l’utilisateur, ses capacités et ses rôles, ainsi que toutes les métadonnées personnalisées qui pourraient avoir été ajoutées par d’autres plug-ins. Les utilisateurs premium de Wordfence ont reçu une règle de pare-feu protégeant contre la vulnérabilité de contournement d’autorisation le 14 août, et les sites qui exécutent toujours la version gratuite de Wordfence recevront cette règle 30 jours plus tard, le 13 septembre 2020.

Désormais, de nombreux plugins et systèmes de gestion vous permettent de personnaliser les rôles des utilisateurs de votre site, que vous utilisiez un blog, une boutique de commerce électronique ou un site d’adhésion, ou simplement en ajoutant une fonctionnalité spécifique pour certains utilisateurs de votre site. . Ces rôles supplémentaires nécessitent une réflexion et une attention supplémentaires, tout comme les plugins et les systèmes de gestion qui offrent les fonctionnalités.

Du point de vue de la sécurité, lorsqu’il s’agit de problèmes et de vulnérabilités comme celui-ci concernant les rôles et les capacités, il est généralement recommandé de limiter les rôles des utilisateurs à ce qui est nécessaire et de rester aussi proche que possible des fonctionnalités de base de WordPress.

Notre prochaine histoire cette semaine concerne les vulnérabilités critiques corrigées dans le plugin Quiz and Survey Master. Le 17 juillet, notre équipe Threat Intel a découvert deux vulnérabilités dans le plugin Quiz and Survey Master, qui est installé sur 30 000 sites.

Le plugin Quiz and Survey Master est un plugin conçu pour permettre aux utilisateurs d’ajouter facilement des quiz et des enquêtes à leur site. L’une des fonctionnalités du plugin permet la mise en œuvre de téléchargement de fichiers pour les quiz et les enquêtes. Cette fonctionnalité de téléchargement n’était cependant pas sécurisée. Les contrôles effectués lors d’un téléchargement de fichier évaluaient uniquement la façon dont les paramètres généraux étaient configurés pour le téléchargement de fichier lui-même.

Pendant le téléchargement, des vérifications ont été effectuées principalement pour voir si le type et la taille du fichier étaient valides. Le problème que nous avons découvert permet aux attaquants non authentifiés de télécharger des fichiers arbitraires et de réaliser l’exécution de code à distance, ainsi que de supprimer des fichiers arbitraires, tels que le fichier wp-config.php d’un site, ce qui pourrait entraîner une interruption du site ou une prise de contrôle du site.

Il est recommandé de passer à la version 7.0.1 dès que possible. Et heureusement, les règles de pare-feu Wordfence par défaut protégeant contre les téléchargements de fichiers malveillants, l’inclusion de fichiers locaux et la traversée de répertoires protégeront les utilisateurs gratuits et premium des attaquants ciblant ces vulnérabilités.

En règle générale, soyez sélectif avec qui vous donnez accès à votre site. Et plus important encore, qui donne des niveaux d’accès supérieurs au niveau de l’abonné. Les utilisateurs avec ces niveaux doivent toujours avoir des mots de passe uniques et complexes.

Notre prochaine histoire cette semaine se penche sur l’augmentation des sites endommagés depuis la mise à jour principale de WordPress 5.5 en raison de la prise en charge dépréciée de jQuery Migrate. Ainsi, il y a quelques semaines, WordPress 5.5 était livré sans bibliothèque JavaScript appelée jQuery Migrate.

jQuery Migrate est une bibliothèque qui aide essentiellement l’ancien code à fonctionner correctement sur les sites WordPress. Cela signifie que si vous avez un plugin ou un thème qui n’est potentiellement plus pris en charge, ou en d’autres termes, il est obsolète, cela a peut-être bien fonctionné jusqu’à la mise à jour vers la version 5.5 où la bibliothèque pour aider le code à fonctionner n’était plus incluse .

Le résultat de la non-inclusion de la bibliothèque dans les mises à jour principales jusqu’à présent a été de 10 000 sites et plus ayant des problèmes. D’une part, cela ressemble à la faute de WordPress de ne pas avoir inclus la bibliothèque, mais l’un des vrais problèmes ici est le nombre de sites utilisant d’anciens thèmes et plugins.

Depuis la mise à jour principale de WordPress, un plugin d’aide jQuery a été publié, qui a dépassé les 10 000 [site] marque d’installation. Ce plugin, qui a été développé par l’équipe principale de WordPress a fourni un certain soulagement aux utilisateurs qui ont vu leur site se briser en raison de la non-inclusion de la bibliothèque jQuery Migrate dans la mise à jour 5.5 principale.

Ce problème a exposé des sites utilisant des thèmes et des plugins plus anciens. Et si votre site a été affecté par ces problèmes dans la version 5.5, le moment est peut-être venu de chercher des remplacements pour les thèmes et plugins qui ne sont plus pris en charge.

Si votre site possède actuellement des plugins et des thèmes qui sont toujours pris en charge, mais qui sont simplement obsolètes, il existe maintenant de nombreux outils qui peuvent vous aider à gérer les mises à jour. Les nouvelles fonctionnalités et le noyau qui ont été ajoutés dans la version 5.5 vous permettront de mettre à jour automatiquement les thèmes et les plugins et vous pouvez également utiliser les alertes Wordfence sur votre site pour rester à l’écoute des mises à jour disponibles pour vos thèmes et plugins.

Vous pouvez également envisager d’utiliser Wordfence Central, qui est un hub pour ajouter tous vos sites protégés par Wordfence, à la fois gratuits et premium et garder une trace des analyses et de la sécurité de tous les sites en un seul endroit. Il existe une option intéressante pour un résumé des alertes dans Central qui vous aidera à réduire la fatigue des alertes et vous tiendra au courant de ce qui nécessite une attention particulière sur vos sites. La meilleure partie de celui-ci est que son utilisation est entièrement gratuite.

Si vous souhaitez plus d’informations sur les mises à jour automatiques, nous avons également un bon article de blog sur wordfence.com du 6 août, intitulé Mises à jour automatiques de WordPress, que devez-vous perdre? Et il détaille comment vous devez procéder pour la fonction de mise à jour automatique, qui a été introduite dans WordPress 5.5. Vous pouvez également consulter la diffusion en direct de Wordfence sur YouTube à partir du 11 août, où nous allons approfondir cela.

Dans notre dernier article de cette semaine, nous examinons la valeur croissante de la crypto-monnaie et comment elle augmente le nombre d’attaques que nous constatons dans différents formats. La crypto-monnaie a pris de la valeur au cours des derniers mois, y compris la crypto-monnaie Monero axée sur la confidentialité.

Elle est actuellement classée 16e crypto-monnaie la plus précieuse sur CoinMarketCap Et c’est une devise préférée pour ceux qui cherchent à cacher leurs transactions, y compris les pirates. Avec cette augmentation de valeur, nous pensons que nous allons commencer à voir plus d’attaques utilisant Monero mining, un peu comme ce que nous avons vu avec une campagne massive de crypto mining, qui a affecté les sites WordPress en 2017.

Nous inclurons ce lien vers notre article de blog dans les notes de l’émission. Maintenant, nous commençons déjà à voir certaines de ces attaques qui ont la crypto-monnaie comme force motrice, y compris le récent piratage Twitter, qui s’est concentré sur Bitcoin. Dans une histoire similaire, une campagne de botnet nommée Fritzfrog a été découverte en train de violer des serveurs SSH datant d’au moins janvier 2020.

Fritzfrog a utilisé la force brute pour violer SSH. Et une fois que leur malware était présent, le malware s’est répliqué et s’est développé afin d’effectuer des tâches supplémentaires. Après que certaines des tâches de ressources les plus élevées ont été tuées sur le serveur par le logiciel malveillant, il a déployé ses propres tâches, qui se concentraient sur l’extraction de la crypto-monnaie Monero.

Dans des cas comme ceux-ci et à mesure que la devise évolue, les pirates ne seront pas loin derrière et il y a toujours une utilisation pour des serveurs, des sites Web et des comptes d’utilisateurs puissants pour les pirates et les botnets. Il est toujours important de surveiller régulièrement les ressources de votre serveur, de renforcer votre sécurité et de garder les comptes administrateur, FTP, SSH et autres importants verrouillés ou inaccessibles jusqu’à ce qu’ils soient nécessaires.

C’est tout pour cette semaine. N’oubliez pas de vous abonner à notre liste de diffusion sur wordfence.com, ainsi que de nous consulter sur Wordfence, en direct sur YouTube tous les mardis à midi, heure de l’Est 9h00 du Pacifique où nous parlons de tout ce qui concerne WordPress et la sécurité. De la part de nous tous ici chez Wordfence, merci de vous être connecté à Think Like a Hacker. Et nous avons hâte de vous retrouver la semaine prochaine.

Suis moi sur Twitter @wfscottmiller. Vous pouvez trouver Wordfence sur Twitter, Facebook, Instagram. Vous pouvez également nous trouver sur Youtube, où nous avons notre hebdomadaire Wordfence Live les mardis à midi, heure de l’Est, à 9 h 00 du Pacifique.



Source link