L’équipe Wordfence Threat Intelligence a déballé les mises à jour de sécurité dans WordPress 5.4.1 et a publié plusieurs articles de blog sur les vulnérabilités de plugins populaires comme Ninja Forms, LearnPress et le plugin de recherche et remplacement en temps réel. Ces vulnérabilités de plugin ont affecté plus d’un million de sites WordPress. Comme quelques-unes étaient des vulnérabilités de Cross Site Request Forgery, nous examinons donc comment ces attaques fonctionnent et comment éviter d’être victime d’une demande CSRF malveillante.

Nous examinons également davantage d’escroqueries ciblant les craintes liées au COVID-19 et les fonds de relance, et la répression à venir de Google sur les extensions Chrome devrait avoir lieu en août 2020. Nous examinons également les préoccupations en matière de confidentialité exprimées par de nombreuses personnes dans le domaine de la sécurité des informations concernant les initiatives de recherche des contacts par divers des sociétés telles que Google et Apple ainsi que des agences gouvernementales.

Voici des horodatages et des liens au cas où vous souhaiteriez sauter, et une transcription est ci-dessous.

0:18 Décompression des 7 vulnérabilités corrigées dans la version d’aujourd’hui Mise à jour de sécurité pour WordPress 5.4.1.
1:18 Vulnérabilité de gravité élevée corrigée dans Formes Ninja.
3:55 Des vulnérabilités de gravité élevée corrigées LearnPress.
4:34 Vulnérabilité de gravité élevée corrigée dans Plugin de recherche et de remplacement en temps réel.
5:56 Qu’est-ce qu’un Contrefaçon de demande intersite (CSRF) attaque?
8:48 Les escroqueries au stimulus contre les coronavirus sont ici. Comment identifier ces nouvelles attaques en ligne et par SMS.
10:07 Google annonce Crackdown du Chrome Web Store fixé pour août 2020.
11:21 Les experts en sécurité mettent en garde: ne laissez pas l’application de suivi des contacts mène à la surveillance, tandis que les Australiens téléchargent leur app plus d’un million fois, faisant écho aux préoccupations la violation de données CBP à partir de 2019.

Retrouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 75

Bonjour mes amis WordPress et bienvenue dans l’épisode 75 de Think Like a Hacker, le podcast sur WordPress, la sécurité et l’innovation. Nous avons beaucoup à plonger dans WordPress et les actualités en matière de sécurité, alors commençons.

Notre première histoire concerne la version 5.4.1 de WordPress qui a été publiée mercredi après-midi, au moins l’après-midi aux États-Unis. Ram Gall de l’équipe Wordfence Threat Intelligence a passé un peu de temps à creuser les vulnérabilités corrigées dans WordPress 5.4.1. Il a trouvé sept vulnérabilités au total corrigées, dont cinq étaient des Cross Site Scripting. Toutes les vulnérabilités semblaient exploitables uniquement dans certaines situations. Ram a publié un article de blog auquel nous lierons dans les notes de l’émission qui vous en dira plus sur ces vulnérabilités si vous souhaitez creuser davantage. Cela devrait être une mise à jour assez facile, et si votre site est configuré pour mettre à jour automatiquement WordPress, vous avez probablement déjà reçu ces correctifs et corrections de bogues, ce qui rend votre installation WordPress encore plus sûre.

Ensuite, nous avons un certain nombre de plugins avec des vulnérabilités qui ont été signalées la semaine dernière.

Tout d’abord, Ninja Forms. Maintenant, Ninja Forms est l’un des plugins les plus populaires pour activer les formulaires sur votre site WordPress. Il est installé sur plus d’un million de sites WordPress dans le monde. Ram Gall a trouvé une vulnérabilité Cross Site Request Forgery to Cross Site Scripting. Donc, Ninja Forms existe depuis un certain temps, il a donc un mode hérité, qui permet aux utilisateurs de rétablir le style et les fonctionnalités de ceux de la version 2.9 du plugin. Dans le cadre de cette fonctionnalité, il ajoute plusieurs fonctions Ajax, qui semblent destinées à importer des formulaires et des champs entre le mode hérité et le mode par défaut. Donc, toutes ces fonctions utilisent des vérifications de capacité, elles vérifient donc si l’utilisateur qui utilise cette fonction a les droits ou les capacités nécessaires pour l’utiliser.

Mais deux des fonctions n’ont pas réussi à vérifier les nonces, qui sont utilisés pour vérifier que la demande a été intentionnellement définie par un utilisateur légitime, donc cela ouvre ce plugin pour une contrefaçon de demande intersite. Et puis, cette contrefaçon de demande intersite pourrait être utilisée pour des scripts intersites, injectant du contenu malveillant qui pourrait affecter les utilisateurs du site WordPress. Maintenant, la grande chose à propos de Ninja Forms est qu’ils ont un formulaire de divulgation de vulnérabilité sur leur site, il est donc incroyablement facile pour les chercheurs en sécurité de contacter l’équipe de développement de plugins et de signaler les vulnérabilités qui pourraient être découvertes.

Notre équipe Threat Intelligence est toujours à la recherche de vecteurs d’attaque possibles, de moyens permettant aux attaquants d’accéder à WordPress. Donc, lorsque nous trouvons un développeur de plugins qui a un moyen facile de les contacter, cela signifie que la vulnérabilité des plugins va être corrigée beaucoup plus rapidement parce que nous n’essayons pas de trouver les canaux appropriés pour communiquer avec ces développeurs de plugins. De nombreux développeurs de plugins n’ont pas de boîte de réception de sécurité configurée avec une preuve réelle que nous parlons à ce développeur de plugins, et ne signalons pas seulement une vulnérabilité de sécurité à un attaquant malveillant qui pourrait alors l’utiliser. Il est donc toujours bon, si vous êtes un développeur de plugins, de vous assurer que vous disposez d’un formulaire ou d’un processus de divulgation des vulnérabilités sur votre site Web, afin que les chercheurs en sécurité puissent vous contacter.

Donc, ce billet de blog contient un lien vers des informations, essentiellement, tout d’abord, vous montrant comment Ninja Forms le fait et également quelque chose de Hacker One parlant de l’importance de la politique de divulgation de vulnérabilité sur votre site Web.

Ensuite, LearnPress. LearnPress est un plugin de gestion de l’apprentissage installé sur plus de 80 000 sites WordPress. Ram Gall a également découvert des vulnérabilités de gravité élevée dans LearnPress et a travaillé avec ce développeur pour s’assurer que celles-ci sont corrigées. Ces deux vulnérabilités incluent une vulnérabilité d’élévation de privilèges, ainsi qu’une vulnérabilité post-création et modification. Wordfence Premium et les utilisateurs gratuits sont actuellement protégés contre l’exploitation de ces vulnérabilités, mais assurez-vous toujours que vous êtes corrigé sur la dernière version de LearnPress si vous l’utilisez.

Ensuite, une vulnérabilité découverte par Chloé Chamberland. Il s’agit d’une falsification de demande intersite pour la vulnérabilité Cross Site Scripting stockée trouvée dans le plug-in de recherche et de remplacement en temps réel. Il est installé sur plus de 100 000 sites WordPress. Ceci est un plugin astucieux; Je ne savais pas que ça existait. Et je peux penser à environ 100 façons de l’utiliser, donc la recherche et le remplacement en temps réel offrent des fonctionnalités qui vous permettent de remplacer dynamiquement du contenu HTML essentiellement à la volée par du nouveau contenu, de sorte que vous devez modifier en permanence le contenu source dans la base de données ou dans un brancher. Ces données de remplacement se chargent simplement avant d’être transmises au navigateur de l’utilisateur, d’où la recherche et le remplacement «en temps réel».

Chloé a trouvé cette faille Cross Site Request Forgery qui permettait de stocker Cross Site Scripting. Il a été entièrement corrigé dans la version 4.0.2, alors assurez-vous de mettre à jour vers la dernière version disponible si vous utilisez ce plugin astucieux. Une grande chose à propos de cette vulnérabilité est que si vous utilisez Wordfence, que vous utilisiez la version premium ou la version gratuite, Wordfence vous protège de toute exploitation ici parce que notre règle de pare-feu Cross Site Scripting intégrée était suffisante pour bloquer tout l’exploitation ici.

Ainsi, quelques-unes des vulnérabilités dont nous avons discuté aujourd’hui sont des vulnérabilités Cross Site Request Forgery. Et j’ai pensé qu’il pourrait être intéressant de regarder un peu plus en profondeur ce qu’est une contrefaçon de demande intersite. Donc, à partir du projet de sécurité des applications Web ouvertes, qui définit essentiellement les types de vulnérabilités qui existent, et ils ont un incroyable – si vous êtes dans la sécurité de l’information – ils ont un excellent site Web où vous pouvez en apprendre beaucoup plus sur les types de vulnérabilités et différents exploits. Donc, Cross Site Request Forgery, voici ce qu’ils disent: «Il s’agit d’une attaque qui force un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié.»

Alors qu’est-ce que cela signifie pour vous, le propriétaire du site Web? Cela signifie qu’une exploitation d’une vulnérabilité ne peut pas se produire sans qu’un attaquant ne fasse quelque chose pour vous inciter à effectuer une sorte d’action. Maintenant, comment un attaquant ferait-il cela? Eh bien, réfléchissons à certaines des façons dont un attaquant pourrait communiquer avec vous. Si vous avez configuré un chat sur votre site, ils pourraient vous envoyer un message via un chat spécialement conçu pour tirer parti d’une vulnérabilité qui pourrait exister sur votre site. Ils pourraient vous envoyer un e-mail, encore une fois, avec un lien spécifique qui, si vous cliquez sur ce lien, effectuerait une action qui, si vous étiez authentifié dans votre tableau de bord administratif WordPress, reprendrait votre site ou publierait du contenu malveillant dans un formulaire qui finit par le publier sur le front-end de votre site Web.

Il s’agit donc d’attaques ciblées. Un attaquant devrait savoir que vous avez une vulnérabilité sur votre site. Ce n’est pas quelque chose qui va juste être aveuglément touché par un tas de bots. Maintenant, un bot ou un expéditeur de spam peut vous envoyer un lien sur lequel vous pouvez cliquer, qui a été spécialement conçu, et en espérant que vous êtes authentifié, entrerait dans votre tableau de bord administratif WordPress, puis effectuerait une sorte d’action malveillante.

Alors maintenant que nous savons que ces types de vulnérabilités ne peuvent être exploitées que lorsque vous cliquez sur un lien, qu’est-ce que cela vous dit? Si vous êtes un administrateur WordPress, il est vraiment important de jeter un œil à tout ce qui pourrait avoir été soumis par un visiteur anonyme du site, un commentaire dans vos commentaires sur votre tableau de bord WordPress, quelque chose dans un chat, quelque chose dans votre e-mail. Et méfiez-vous des liens entrants. Et bien sûr, utilisez un pare-feu. Et assurez-vous que tous vos plugins et vos thèmes et votre noyau WordPress sont tous mis à jour, et Cross Site Request Forgery est beaucoup moins dangereux.

Ensuite, une histoire de CNET sur les escroqueries au stimulus contre les coronavirus commence à apparaître. Ces escroqueries se manifestent de diverses manières qui s’attaquent à des personnes vulnérables et sans méfiance, des choses comme faire un don à un organisme de bienfaisance en ligne, faire un don à des organismes de bienfaisance via les médias sociaux, contribuer à des campagnes de financement participatif, même acheter des produits en ligne, ou donner des informations personnelles de quelque manière que ce soit qui vous a promis de l’argent ou des avantages liés au coronavirus. Ces avertissements proviennent du FBI, alors faites attention à toutes sortes d’escroqueries qui s’attaquent à vos émotions.

Dans cet article, ils citent également Trustwave, qui a déclaré que 33% de tous les incidents de violation de données étaient le résultat d’attaques de phishing ou d’ingénierie sociale. Maintenant, ce sont des attaques contre l’humain dans l’équation, un peu comme une attaque Cross Site Request Forgery. Il faut qu’un être humain soit vulnérable, donc la plus grande partie de la sécurité est encore l’éducation. Renseignez-vous. Éduquez les autres. Assurez-vous que vous êtes au courant des types de fraudes qui existent et protégez vos actifs.

Ensuite, un article de ZDNet. Google déclare qu’en août 2020, ils vont purger les extensions Chrome inutiles de la boutique en ligne. Google dit qu’en raison du succès de Chrome en tant que plate-forme de navigateur de premier plan, ils voient un afflux de spammeurs et de fraudeurs. J’aime toujours rapporter ces histoires comme un rappel pour aller dans toutes vos extensions de navigateur et rechercher tout ce qui semble ne pas y appartenir, ou ressembler à quelque chose que vous n’utilisez plus. Tout comme vous devez protéger votre site WordPress des plugins présentant des vulnérabilités, il est vraiment important de protéger vos navigateurs contre tout type d’actions malveillantes. L’histoire de Google Chrome compte actuellement plus de 200 000 extensions, alors utilisez vos extensions très attentivement. Ils font partie de votre navigateur, donc si vous naviguez vers vos comptes bancaires, si vous naviguez sur tout type de médias sociaux, tout ce que vous saisissez dans cette session de navigateur peut être capturé dans le cadre de résident dans votre navigateur.

Notre dernier récit aujourd’hui a été rapporté dans ZDNet le 29 avril. Et des experts en sécurité au Royaume-Uni avertissent le gouvernement de ne pas laisser les applications de recherche des contacts avec les coronavirus conduire à la surveillance. Plus de 170 chercheurs au Royaume-Uni travaillant dans le domaine de la sécurité et de la confidentialité des informations ont signé une déclaration commune concernant leurs préoccupations concernant le NHS, les plans du National Health System d’utiliser une application de recherche des contacts pour aider à contenir l’épidémie de coronavirus.

Bien sûr, aux États-Unis, Google et Apple travaillent ensemble sur une initiative conjointe pour les appareils Android et iOS utilisant Bluetooth. Vous devrez télécharger une application pour pouvoir y participer. Maintenant, le NHS et le gouvernement du Royaume-Uni ont rejeté l’approche conjointe proposée par Apple et Google pour aider à retracer la propagation du virus. Et ils vont avoir leur propre outil séparé au Royaume-Uni.

La BBC a rapporté que l’application australienne de suivi des contacts COVIDSafe comptait déjà plus d’un million de téléchargements. Le Premier ministre australien Scott Morrison a déclaré que les restrictions sociales pourraient être assouplies si suffisamment de personnes commençaient à utiliser cette application. Le gouvernement affirme donc que 40% de la population doit le télécharger avant de pouvoir assouplir les restrictions sociales.

Alors évidemment, je travaille dans la technologie, et je sais que la technologie peut résoudre beaucoup de problèmes. Et je suis d’accord que la santé publique est un énorme problème. Mais je travaille aussi dans la sécurité, et je serai donc un peu controversé ici. De toute évidence, il y a beaucoup de gens qui attendent avec impatience ces types d’applications de recherche de contacts pour ralentir la propagation d’une maladie hautement contagieuse. La confidentialité et la sécurité sont extrêmement importantes pour nous tous, et il a été vraiment réconfortant de voir autant d’organisations gouvernementales, y compris l’UE, proposer le RGPD pour protéger les informations personnelles des gens, la même chose en Californie et au Nevada.

Et en travaillant dans le domaine de la sécurité, si vous avez écouté ce podcast une seule fois, vous avez entendu parler de vulnérabilités. Et vous avez entendu parler de nombreux cas de violation de données. Même si en Australie, par exemple, il existe des problèmes de confidentialité. Et le gouvernement a déclaré que seules les autorités sanitaires de l’État seraient éligibles pour accéder aux données qui peuvent être collectées par l’application de suivi des contacts COVIDSafe. Sonne bien, non? Ils vont protéger la confidentialité de toutes les données qui peuvent être collectées par certaines de ces applications de suivi des contacts. Super. Eh bien, en guise d’avertissement, je voulais juste rappeler à tout le monde l’histoire que nous avons couverte dans l’épisode 21 du podcast, où CBP, la patrouille frontalière a essentiellement déclaré que des photos de voyageurs et des images de données de plaque d’immatriculation avaient été volées dans une violation de données.

Ces données ont été volées lors d’une cyberattaque malveillante signalée dans TechCrunch en juin 2019. Ainsi, même ces applications de recherche de contacts ont les meilleures intentions pour protéger votre vie privée, des attaques malveillantes et des violations se produisent. Nous en parlons tout le temps. Supposons que cela va se produire. Donc, juste le fait que notre gouvernement va rassembler davantage d’informations sur nos mouvements, et que ces géants de la technologie comme Apple et Google le feront également, il leur appartiendra de protéger notre vie privée. Ou nous devons trouver des moyens supplémentaires de refuser ce type de surveillance.

Je ne pense pas que COVID va bientôt disparaître. Et je ne pense pas non plus que les changements dans la confidentialité vont disparaître de si tôt. Et malheureusement, les violations de données et les attaques malveillantes ne vont pas disparaître non plus. J’ai grandi dans l’Illinois, dans le nord de l’Illinois. Et il y a des péages partout. Et quand j’étais petit, et ils commençaient à construire une nouvelle route, et ils l’avaient mise en péage, je me souviens que mes parents parlaient quand j’étais petit, et parlaient de ces péages et comment ils étaient collectés afin de payer la route, et que les péages disparaissent une fois la route payée.

Eh bien, si vous avez déjà traversé le nord de l’Illinois, les péages ne sont jamais allés nulle part. Ces fonds ont été réappropriés et ont trouvé de nouveaux logements. Peut-être qu’ils paient pour les écoles ou quoi que ce soit, mais la promesse que ces choses disparaissent ne s’est jamais réalisée. Et je pense que la même chose va se produire avec ces types d’applications de suivi des contacts. Même si COVID finit par devenir moins une menace à l’avenir, je pense que ces types d’applications de suivi des contacts continueront d’exister, et ils trouveront d’autres raisons à cela.

Je trouve que c’est une pente très glissante et très intéressante. Et ceci est mon podcast controversé car, jusqu’à présent pour 2020, j’ai été assez docile, mais c’est reparti. Ils font toujours quelque chose, non?

C’est tout ce que nous avons pour vous cette semaine sur Think Like a Hacker, le podcast sur WordPress, la sécurité et l’innovation. Suivez-nous sur Twitter à @Wordfenceet suivez-moi sur @KathyZant. Suivez mon patron à @mmaunder parce qu’il a toujours quelque chose d’intéressant et devient parfois un peu controversé.

Nous faisons les heures de bureau Wordfence tous les mardis à 9h00. Nous passons à YouTube pour ceux-ci au lieu de Zoom. Eh bien, nous allons toujours utiliser Zoom pour diffuser sur YouTube. Nous trouvons les meilleures technologies qui fonctionnent pour nous, donc nous aimerions vous avoir Rejoignez-nous là-bas. Nous le faisons tous les mardis, à 9 h 00 du Pacifique, à midi sur la côte est des États-Unis.

Merci d’avoir écouté Think Like a Hacker, et nous vous parlerons la semaine prochaine.



Source link

%d blogueurs aiment cette page :