Sur le podcast Think Like a Hacker de cette semaine, nous couvrons une campagne d’attaque active ciblant les sites WordPress et de nombreuses vulnérabilités de plug-in. Cette campagne d’attaque active est en cours et a dépassé toutes les autres attaques contre les vulnérabilités de WordPress. Notre équipe de renseignement sur les menaces suit cet attaquant depuis des mois maintenant, et nous voyons ces attaques s’intensifier. Nous examinons également les vulnérabilités trouvées dans le plug-in Site Kit de Google et le générateur de page de SiteOrigin, et pourquoi il est si important pour les développeurs de plug-ins d’avoir une politique de divulgation responsable publiée dans un emplacement facile à trouver sur leur site.

Nous examinons également comment une combinaison de deux vulnérabilités a été utilisée dans une attaque active zero-day sur des sites exécutant Elementor Pro et le module complémentaire Ultimate Addons for Elementor.

Nous examinons également quelques nouvelles mises à jour de Fast or Slow, le nouvel outil mondial de profilage de la vitesse du site créé par l’équipe d’ingénierie de Wordfence, et le lancement difficile impromptu que le site a connu lorsqu’il a atteint la position de n ° 1 sur Hacker News le 8 mai 2020. .

Mai a été un mois plutôt chargé en sécurité WordPress et pour l’équipe Wordfence. Profitez du podcast et restez en sécurité.

Voici des horodatages et des liens au cas où vous souhaiteriez sauter, et une transcription est ci-dessous.
0:24 Rapide ou lent monte à la position # 1 sur Hacker News, et notre équipe lance une ré-architecture et étend le profilage à 18 sites mondiaux.
5:37 Vulnérabilité découverte dans Google Site Kit accorde aux attaquants Accès à Google Search Console.
7:50 28 000 comptes d’hébergement GoDaddy compromis.
9:32 Attaque combinée sur Elementor Pro et Ultimate Addons pour Elementor a mis 1 million de sites en danger.
13:34 Vulnérabilités corrigées dans Page Builder par SiteOrigin affecte plus d’un million de sites.

Retrouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 76

Bonjour mes amis WordPress et bienvenue dans l’épisode 76 de Think Like a Hacker. Ceci est le podcast sur WordPress, la sécurité et l’innovation. Je suis votre hôte, Kathy Zant. Nous avons un certain nombre d’histoires cette semaine sur la sécurité WordPress. Alors, commençons.

Tout d’abord, une note rapide sur Fast or Slow. Ceci est l’application développée par l’équipe d’ingénierie ici à Wordfence. Vendredi 8 mai, nous avons commencé à constater une augmentation du trafic vers le site sur fastorslow.com. Après une enquête plus approfondie, nous avons constaté que Fast or Slow figurait en première page de Hacker News, ce qui était surprenant et une grande nouvelle. Nous n’avions lancé que cette application en douceur, en l’envoyant à quelques destinataires sélectionnés et en observant le fonctionnement de l’application avec beaucoup de trafic, car elle est plutôt complexe.

Fast or Slow est un outil qui mesure les performances de votre site à partir de divers endroits du monde. De toute évidence, vous êtes au même endroit et lorsque vous consultez votre site, il peut répondre différemment pour vous qu’il ne le fait avec quelqu’un à l’autre bout du monde. Nous voulions donc créer un outil permettant aux gens de mesurer les performances sur une grande variété de sites géographiques.

Ainsi, l’un des utilisateurs à qui nous avons envoyé un mail a vu la valeur et partagé avec Hacker News, et nous avons eu l’expérience d’un lancement dur impromptu. Le site se développe depuis lors, recueillant du trafic supplémentaire de partout dans le monde. L’équipe était en train de réorganiser certaines parties de celle-ci pour la croissance, se préparant à la croissance. Le site est maintenant prêt pour une croissance future. Nous aurons bientôt des nouvelles à ce sujet.

Nous avons créé Fast or Slow pour nous-mêmes, et c’est vraiment génial et excitant de le voir si bien reçu par la communauté de développement Web, même au-delà de WordPress. Merci donc à tous ceux qui utilisent Fast or Slow et surveillez les améliorations et fonctionnalités qui seront ajoutées bientôt. Si vous ne l’avez pas encore regardé, pourquoi pas. Accédez à fastorslow.com et découvrez les performances de votre site dans le monde.

Vous avez peut-être remarqué que je n’ai pas sorti de podcast la semaine dernière. Une partie de cela était de regarder cette utilisation fulgurante de Fast or Slow. Mais il y avait aussi juste une quantité folle de recherches et d’actualités sur la sécurité dans le monde WordPress au cours de la première semaine de mai. Maintenant, nous sommes dans la deuxième semaine de mai et il ne veut certainement pas être le jeune frère négligé du mois. Nous avons donc eu une autre semaine d’une tonne de nouvelles sur la sécurité WordPress. Commençons donc avec ça.

Notre première histoire de sécurité WordPress est une histoire continue qui a commencé le lundi 4 mai lorsque nous avons chargé des choses dans nos bureaux virtuels en tant qu’équipe distante à travers le monde. Ram Gall de notre équipe d’assurance qualité et de recherche sur les menaces a remarqué une augmentation spectaculaire du nombre d’attaques contre les sites exécutant le pare-feu Wordfence. La plupart d’entre elles étaient des attaques de script intersite qui ciblaient des plugins plus petits avec des vulnérabilités assez anciennes. Mais les nouvelles là-bas n’étaient que le volume d’attaques.

Nous avons publié un article détaillant ce que nous voyions, car nous étions assez certains que nous allions commencer à voir des attaques supplémentaires provenant de cet acteur de la menace. Fidèle à sa forme, environ une semaine plus tard, nous avons vu une autre hausse au point où cet acteur de menace singulier, maintenant il pourrait s’agir d’un groupe de personnes, mais cette campagne singulière lançait plus d’attaques contre les vulnérabilités que toute autre campagne d’explosion de vulnérabilité qui se produit qui est ciblant WordPress dans le monde.

Donc, Ram Gall, Chloe Chamberland et Mark Maunder ont jeté un coup d’œil à ce qui se passait et non seulement nous avons constaté que ces acteurs de la menace avaient corrigé un bogue dans leur code, mais nous avons également constaté que cet acteur de la menace existait depuis un certain temps. Nous commençions à voir des modèles et des marqueurs similaires à partir d’une campagne qui se déroulait plus tôt cette année, qui utilisait Bulletproof Hosting pour lancer des attaques contre des sites dans le monde entier.

Quelle en est notre opinion? WordPress gère évidemment environ un tiers d’Internet et les acteurs de la menace continueront toujours de cibler WordPress. Une fois que vous connaissez un système et que vous connaissez les vulnérabilités et les exploits probables, vous êtes susceptible de continuer à le cibler. Donc, ce que nous voyons avec cet acteur de menace particulier, c’est que leurs attaques arrivent à maturité, en termes de taille et de vulnérabilités ciblées. La grande chose à propos de Wordfence Premium est que cette liste noire en temps réel qui fait partie de Wordfence Premium suit cet attaquant. Ainsi, alors qu’ils passent d’une adresse IP à une autre, la liste noire les suit, garantissant que leurs attaques ne peuvent même pas voir votre site WordPress. Donc, si vous avez une vulnérabilité qu’ils ciblent, ils ne pourront même pas la voir car ces adresses IP vont être bloquées par cette liste noire continue. C’est la fonctionnalité la plus puissante de Wordfence.

Pour moi, en particulier pour un site qui est extrêmement important, c’est un incontournable pour votre site WordPress. C’est dommage que ces autres systèmes de gestion de contenu n’aient pas quelque chose d’aussi puissant. Mais encore une fois, Wordfence est très spécifique dans le monde WordPress, protégeant les sites WordPress, et notre renseignement sur les menaces concerne tout WordPress. Comptez donc cela comme une autre raison de rester avec WordPress.

Notre prochaine histoire concerne une vulnérabilité du plugin Google Site Kit, installé sur plus de 300 000 sites WordPress. Chloé Chamberland a découvert cette vulnérabilité. Il permet aux attaquants de s’ajouter en tant que propriétaire du site dans la console de recherche Google. L’accès des propriétaires leur permettra de modifier les plans du site, de supprimer des pages des pages de résultats des moteurs de recherche Google, ou même de faciliter les campagnes de référencement Black Hat en utilisant votre site. Si vous l’utilisez, nous vous recommandons vivement de mettre à jour la dernière version du plug-in, qui est la version 1.8.0 de Site Kit by Google. Il s’agit d’un outil vraiment puissant pour les propriétaires de sites WordPress.

J’étais au WordCamp Sacramento l’automne dernier, et j’ai pu voir cela démontré avant même son lancement. Jake Goldman de l’agence de conception Web, 10Up a présenté Google Site Kit à une foule de salle debout bondée. Je suis donc sûr que cette conférence sera bientôt sur WordPress.TV. Vous voudrez peut-être vérifier cela. Si vous utilisez les outils de Google pour gérer votre classement dans les résultats des moteurs de recherche, il est très utile d’avoir un accès rapide et facile aux données de Google pour vous aider à prendre de bonnes décisions avec votre site. Je pense donc que ce sera un excellent outil pour les propriétaires de sites Web du monde entier. Encore une fois, comme note, ce n’est pas parce qu’un plugin a une vulnérabilité que le plugin ne doit pas être utilisé. Cela signifie simplement qu’il s’agit d’un bogue et qu’il doit être corrigé. C’est formidable que Chloé et Ram et notre équipe de renseignement sur les menaces continuent de découvrir ces vulnérabilités et de travailler avec les développeurs pour corriger ces plugins importants. Ceux d’entre nous qui sont des clients premium soutiennent cela. Ce Wordfence de soutien nous aide à produire cette recherche et à la diffuser à tous les membres de la communauté le plus rapidement possible, y compris via ce podcast. L’éducation est un élément très important de la sécurité, car lorsque vous disposez de ces informations, elles vous aident à prendre de bonnes décisions concernant les données que vous obtenez et c’est la clé de voûte de la sécurité.

Notre histoire suivante a été largement couverte dans la presse technologique générale. 28 000 comptes GoDaddy ont été compromis. Cela ne représente qu’un petit pourcentage des 19 millions de clients de l’entreprise. Ainsi, selon la divulgation publiée par GoDaddy, le 17 avril, ils ont découvert et commencé à enquêter sur une activité suspecte et cela remontait à environ octobre 2019. Dès qu’ils l’ont identifié, ils ont commencé leur correction. Ils n’ont aucune indication que cet acteur de la menace utilisait les informations d’identification des clients et aucune donnée ne montre qu’ils avaient modifié des comptes d’hébergement. Ils ont juste changé ces mots de passe par précaution. Cela n’a affecté que les connexions SSH. SSH est synonyme de shell sécurisé et, en gros, il vous donne un accès en ligne de commande au serveur pour le compte auquel vous vous connectez. Si vous avez ce qu’ils appellent les privilèges sudo, il vous donne accès à la quasi-totalité du serveur afin d’agir en tant qu’administrateur de l’itinéraire. Ce n’est probablement pas un problème sur les comptes GoDaddy. Juste pour mettre un anecdote sur quelque chose à comprendre sur SSH et à quel point c’est critique.

Donc, notre conseil est que si vous utilisez GoDaddy comme fournisseur d’hébergement et que vous n’utilisez pas SSH pour vous connecter sur cette ligne de commande, vous pouvez désactiver cette option. Ou vous pouvez l’activer lorsque vous l’utilisez, puis le désactiver par mesure de sécurité lorsque vous ne l’utilisez pas. Encore une fois, 28 000 clients semblent beaucoup, mais ce n’est vraiment qu’une goutte d’eau dans la large base d’utilisateurs de GoDaddy.

Pour notre histoire suivante, le 6 mai, il y avait une campagne d’exploitation active qui ciblait les sites WordPress basés sur Elementor. Maintenant, cette attaque active visait une combinaison spécifique de deux vulnérabilités différentes. Le premier était une vulnérabilité du plugin Elementor Pro populaire, que nous estimons installé sur plus d’un million de sites Web WordPress. Maintenant, juste pour différencier, cela n’affecte pas le plugin Elementor qui est installé sur jusqu’à 5 millions de sites Web, maintenant, qui est disponible dans le référentiel WordPress. Cette vulnérabilité ne concernait que la version Pro de ce plugin. Il permet à toute personne possédant un compte, même un compte de niveau abonné, de télécharger un fichier sur le site. Ce fichier peut être une image ou une porte dérobée PHP, permettant ainsi à quelqu’un de prendre le contrôle de l’ensemble du site.
C’est ce que nous appelons une vulnérabilité authentifiée, ce qui signifie que quelqu’un doit avoir un compte pour l’exploiter. Cela ne semble pas si grave, non? Vous pouvez simplement désactiver les abonnés dans de nombreux cas et protéger votre site, mais pour les sites utilisant WordPress comme plate-forme de commerce électronique avec des comptes clients ou des sites d’adhésion avec des connexions membres ou des sites LMS avec des connexions étudiants ou toute autre chose qui nécessite des comptes d’abonnés pour la fonctionnalité de la site ou plus, c’est un gros problème.

Avec cette attaque sur la vulnérabilité zero day, un autre plugin est entré en jeu. Ce plugin est appelé les addons ultimes pour Elementor. Il s’agit d’un plugin payant créé par une société appelée Brainstorm Force. Nous estimons que celui-ci a une base d’installation d’environ 110 000 personnes. C’est juste notre estimation. Ce pourrait être plus, ce pourrait être moins. Cette équipe crée également le thème Astra léger pour WordPress. Cette vulnérabilité des plugins permettait à n’importe qui de créer un compte sur un site, même si l’inscription à l’abonnement était désactivée. Les attaquants utilisaient donc cette vulnérabilité pour créer un compte utilisateur. Ils ont ensuite utilisé les nouveaux comptes enregistrés pour exploiter la vulnérabilité zero-day d’Elementor Pro et essentiellement réaliser l’exécution de code à distance.

Nous avons été alertés de cette vulnérabilité et de cet acte d’exploitation par quelqu’un dont le site WordPress a été compromis. Un hébergeur a ensuite partagé ses fichiers journaux avec nous. Nous avons pu corroborer et vérifier ces rapports d’exploitation active. Brainstorm Force a posté sur les forums wordpress.org qu’ils devaient réparer et avait contacté Elementor. Nous avions contacté Elementor immédiatement après avoir découvert cela et rédigé une règle de pare-feu, évidemment pour protéger les sites contre l’exploitation qui est actuellement disponible pour les clients premium. Il n’a pas fallu longtemps pour qu’un correctif soit publié, mais il fut un temps où le [existence of] un exploit zero day a été dévoilé sur de nombreuses chaînes Slack, ainsi que sur les forums wordpress.org.

Ceci n’est qu’un témoignage de la rapidité avec laquelle la communauté WordPress agit lorsqu’une vulnérabilité de sécurité est détectée. Pour rappel, si vous trouvez que votre site est piraté ou si vous voyez des bavardages dans un forum Slack ou ailleurs sur un exploit qui se produit, il est vraiment important de notifier le développeur de ce plugin ou thème vulnérable dès que possible. Quand les choses sont discutées publiquement comme ça, cela met la communauté entière en danger. Bien sûr, les clients Wordfence reçoivent des règles de pare-feu pour protéger leurs sites.

Félicitations également à Elementor qui vient de frapper 5 millions d’installations actives avec ce plugin gratuit dans le repo, même au milieu de la vulnérabilité Zero Day. Un rappel que Zero Days ne sont que des bugs de célébrités. Développeurs responsables qui corrigent rapidement pour protéger leurs clients et continuent de créer des logiciels incroyables, ces entreprises réussiront toujours.

Notre dernière histoire de sécurité WordPress pour la deuxième semaine de mai concerne le générateur de pages par le plugin SiteOrigin. Ceci est installé sur plus d’un million de sites. Chloe Chamberland a trouvé deux vulnérabilités dans ce plugin. Ces deux failles ont permis aux attaquants de forger des demandes au nom d’un administrateur de site et d’exécuter du code malveillant dans le navigateur de l’administrateur. L’attaquant devait inciter un administrateur de site à exécuter une action, comme cliquer sur un lien dans une pièce jointe pour que cette attaque réussisse. La version corrigée est la version 2.10.16. Les versions gratuite et premium du pare-feu Wordfence protègent contre ces vulnérabilités via la protection intégrée de script intersite. Ce développeur a corrigé très rapidement et était très reconnaissant pour le rapport de ces vulnérabilités via une divulgation responsable. Ils ont même acheté une licence premium pour Wordfence comme un geste pour nous remercier de rendre leur logiciel encore plus sécurisé. Nous vous remercions donc. Ce fut un grand geste et nous a fait nous sentir vraiment bien.

Vous voyez, beaucoup de gens pensent que les chercheurs en sécurité et les développeurs ont une relation litigieuse et que les développeurs nous regardent avec mépris pour trouver des vulnérabilités. Ce n’est tout simplement pas vrai, en particulier dans la communauté WordPress, cette communauté open source qui fait de WordPress ce qu’il est. Trouver et corriger les bogues de sécurité avant que les pirates ne les trouvent, ce qui rend tout le monde plus sûr, les développeurs le comprennent. Ils sont reconnaissants du soutien supplémentaire qu’ils ont trouvé pour trouver des vulnérabilités, les divulguer de manière responsable et obtenir des correctifs. Il est également très utile que ces développeurs trouvent facilement des politiques de divulgation responsables afin que les chercheurs en sécurité de Wordfence et d’ailleurs puissent contacter les développeurs en toute sécurité, rapidement et facilement. Surtout dans les cas où des attaques actives pourraient se produire, comme ce que nous avons vu la semaine dernière avec les plugins Elementor, plus vite nous pouvons entrer en contact avec les développeurs, plus vite nous pouvons vous contacter et vous expliquer ce qui se passe et vous donner une preuve de concept , vous montrant ce qui se passe, cela va protéger toute la communauté.

Il y a donc des liens dans toutes les notes de l’émission pour cela. Allez voir les articles du blog de Chloé, à la fois pour SiteOrigin Page Builder, ainsi que pour le [Google] Kit de site. Elle contient des vidéos de validation de principe qui vous montrent comment ces vulnérabilités sont exploitables. Je pense que ces vidéos sont géniales. Cela aide vraiment à expliquer le fonctionnement des vulnérabilités et vous donne également une idée du fonctionnement du pare-feu.

Si vous aimez ces vidéos, nous avons un régal à venir sur un prochain épisode de Wordfence Office Hours. Nous avons déplacé Wordfence Office Hours sur YouTube, et nous le faisons tous les mardis à midi, heure de l’Est, à 9 h 00, heure du Pacifique. Chloé se joindra à nous lors d’un prochain épisode. Elle va nous montrer comment elle pirate des sites. Il y aura donc un piratage en direct sur les heures de bureau, ce qui sera amusant. Chloé est aussi un être humain incroyable et je ne peux pas attendre que vous la rencontriez tous. Mais si vous écoutez depuis un moment, vous avez entendu mon entretien avec elle il y a quelques mois, il y a des semaines. Cette mise en quarantaine et le verrouillage de son moi ont tous été décomposés avec des jours et des mois.

Quoi qu’il en soit, rejoignez-nous pour les heures de bureau, tous les mardis à 9h00 du Pacifique, à midi sur la côte Est. Ce sera très excitant. Vous pouvez vous abonner à la chaîne Wordfence sur YouTube. Je mettrai un lien dans les notes de l’émission. Si vous frappez la cloche sur les espaces réservés vidéo pour les heures de bureau des épisodes à venir, vous recevrez un rappel lorsque les prochaines heures de bureau de Wordfence auront lieu. À ce jour, nous avons deux épisodes sur YouTube. Vous pouvez aller les vérifier. Si vous développez la zone de description, vous pouvez voir des horodatages de sections de l’émission afin que vous puissiez plonger et en savoir plus.

Dans l’épisode le plus récent que nous avons enregistré le 12 mai, Tim Cantrell, qui me rejoint avec Scott Miller sur Office Hours, il parlé d’une campagne de phishing frapper beaucoup de boîtes de réception. Il cible les propriétaires de sites Web. C’est donc vraiment quelque chose à écouter. C’est encore une autre arnaque au bitcoin qui frappe toutes ces boîtes de réception. Je suis ravi qu’une plus grande partie de notre équipe se joigne à nous pour les prochains épisodes des heures de bureau. C’est très amusant, surtout depuis que nous vous manquons tous à WordCamps.

Merci d’avoir écouté Think Like a Hacker. Allez-y et donnez-nous un like ou donnez-nous un avis sur Podcasts Apple. Rejoignez-nous Youtube. Suivre moi sur Twitter et je vous ferai savoir ce que fait toute l’équipe Wordfence. Bien sûr, si vous ne suivez pas Wordfence sur vos réseaux sociaux préférés, nous sommes Wordfence partout, que ce soit Instagram ou Facebook ou Twitter.

Suivez-nous et nous vous tiendrons au courant de toutes les actualités de sécurité sur WordPress. Merci d’avoir écouté et nous vous parlerons bientôt.



Source link

%d blogueurs aiment cette page :