Le 11 mai 2023, Essential Addons for Elementor, un plugin WordPress avec plus d’un million d’installations actives, a publié un correctif pour une vulnérabilité critique qui permettait à tout utilisateur non authentifié de réinitialiser des mots de passe utilisateur arbitraires, y compris des comptes d’utilisateur avec un accès de niveau administratif. Cette vulnérabilité a été découverte et divulguée de manière responsable par le chercheur en sécurité Rafie Muhammed.
Au cours des derniers jours, nous avons vu des millions de tentatives d’exploration du fichier readme.txt du plugin, qui sont probablement des attaquants sondant la présence du plugin pour créer une liste d’exploits du site cible, ainsi que plus de 6 900 tentatives d’exploit bloquées. Nos données d’attaque sont limitées du fait que la règle ne se déclenche que si le plugin est installé sur un site avec une version vulnérable, mais un exploit programmatique a été rendu public sur Github le 14 mai. C’est le type de vulnérabilité qui a tendance à voir des attaques généralisées en raison d’une combinaison d’une base d’installation importante, d’une facilité d’exploitation et de la gravité de l’impact, et nous prévoyons que les tentatives d’exploitation ne feront qu’augmenter à partir d’ici.
Wordfence Premium, Se soucieret Réponse les clients ont reçu une règle de pare-feu le jour même où le problème a été révélé le 11 mai 2023. Les utilisateurs gratuits de Wordfence recevront cette même protection 30 jours plus tard, le 20 juin 2023. Compte tenu de la facilité avec laquelle cette vulnérabilité peut être exploitée avec succès, nous recommandons vivement à tous les utilisateurs de la mise à jour du plugin dès que possible pour s’assurer que leur site n’est pas compromis par cette vulnérabilité.
Détails de la vulnérabilité
La vulnérabilité corrigée dans Essential Addons for Elementor permettait aux attaquants de réinitialiser les mots de passe de comptes arbitraires sur l’un des millions de sites WordPress exécutant le plugin. Cela était dû au fait que le reset_password la fonction n’a pas validé de manière adéquate une demande de réinitialisation de mot de passe avec une clé de réinitialisation de mot de passe, de sorte que les attaquants pouvaient simplement fournir un nom d’utilisateur valide, obtenir un nom d’utilisateur valide à partir de la page d’accueil du site, saisir des données aléatoires pour les champs restants et réinitialiser le mot de passe utilisateur fourni à tout ce qu’ils choisi en une simple demande.
WordPress ne considère pas les noms d’utilisateur comme des informations sensibles, ce qui signifie que les attaquants peuvent facilement énumérer un site à la recherche de noms d’utilisateur valides. De plus, les propriétaires de sites oublient souvent de modifier le nom d’utilisateur par défaut, ce qui permet aux attaquants d’utiliser des noms d’utilisateur par défaut courants tels que « admin ». Cela permet aux attaquants de découvrir beaucoup plus facilement des comptes valides qu’ils peuvent compromettre afin d’élever leurs privilèges sur le site. Une fois que l’attaquant est connecté en tant qu’administrateur, il a libre cours pour effectuer des actions telles que l’installation de plugins et de portes dérobées pour infecter davantage le site, le serveur et tout visiteur sans méfiance.
Un regard sur les données d’attaque
Sondage de découverte de plugins
La première tendance intéressante que nous avons remarquée est qu’immédiatement après la divulgation de la vulnérabilité le 11 mai 2023, les tentatives de sondage readme.txt pour Essential Addons for Elementor ont immédiatement augmenté et sont restées relativement plus élevées que la normale au cours de quelques jours. Bien qu’il existe des services qui sondent les données d’installation à des fins légitimes, nous pensons que ces données indiquent que les attaquants ont commencé à rechercher des sites vulnérables dès que la vulnérabilité a été révélée. Plus de 5 000 000 tests readme.txt ont été effectués le lendemain de la divulgation.
Principales adresses IP offensantes engagées dans la découverte
Principales adresses IP incriminées et nombre total d’exploits bloqués
Au cours des 5 derniers jours, nous avons bloqué plus de 6 900 attaques, la principale adresse IP attaquante étant 78.128.60.112. Nous avons également détecté et bloqué quelques centaines de tentatives d’exploit en utilisant l’exploit qui a été publié il y a deux jours. Encore une fois, nos données sont limitées en raison de la nature de la règle WAF, cependant, il convient de noter que toutes les 6 900 demandes que nous avons bloquées auraient probablement conduit à des compromis sur le site si elles n’avaient pas installé Wordfence Premium.
Indicateurs de compromis
Un signe évident d’infection est si l’administrateur d’un site ne parvient pas à se connecter avec le mot de passe correct car il peut avoir été modifié en raison de cette vulnérabilité, et le site exécute Essential Addons for Elementor version 5.7.1 ou antérieure. Nous vous recommandons également de vérifier les administrateurs malveillants nouvellement ajoutés, car ceux-ci peuvent avoir été ajoutés pour maintenir la persistance.
Nous avons commencé à suivre les infections sur les sites exécutant une version vulnérable du plugin, et bien qu’aucun schéma clair n’ait encore émergé, les sites exécutant des versions obsolètes du plugin présentaient déjà un risque d’infection nettement plus élevé que notre utilisateur moyen.
Agents utilisateurs
- L’exploit public utilise l’agent utilisateur suivant : Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/58.0.3029.110 Safari/537.36 Edge/16.16299
Recherchez les demandes dans le journal d’accès d’un site avec les adresses IP d’origine suivantes :
- 78.128.60.112
- 23.224.195.51
- 212.113.119.6
- 193.233.232.243
- 91.193.43.151
- 51.77.200.137
- 2a0e:d602:1:4c8::2
- 103.187.5.198
- 2a0e:d602:1:bae::2
- 103.149.137.18
Conclusion
Dans l’article d’aujourd’hui, nous avons couvert une vulnérabilité de gravité critique dans Essential Addons for Elementor qui permet aux attaquants de prendre facilement le contrôle de sites Web en réinitialisant le mot de passe de n’importe quel utilisateur, y compris les administrateurs. Nous avons commencé à suivre les données d’attaque pour cette vulnérabilité et nous nous attendons à ce que les attaques s’intensifient car la vulnérabilité est facile à exploiter, a une large base d’installation et a un impact élevé, ce qui la rend incroyablement attrayante pour les attaquants.
Wordfence Premium, Se soucieret Réponse les clients ont reçu une protection contre cette vulnérabilité via une règle de pare-feu le 11 mai 2023, et les utilisateurs gratuits de Wordfence recevront la même protection 30 jours plus tard, le 20 juin 2023.
Même si vous avez déjà reçu une règle de pare-feu pour ce problème, nous vous invitons à vous assurer que votre site est mis à jour au moins vers la version 5.7.2 afin de maintenir une fonctionnalité normale, car cette vulnérabilité est grave. Si vous avez des amis ou des collègues qui utilisent Essential Addons pour Elementor, assurez-vous de leur transmettre cet avis, car des centaines de milliers de sites restent toujours non protégés et non corrigés.
Si vous pensez que votre site a été compromis en raison de cette vulnérabilité ou de toute autre vulnérabilité, nous proposons des services de réponse aux incidents via Soins des mots. Si vous avez besoin que votre site soit nettoyé immédiatement, Réponse Wordfence offre le même service avec une disponibilité 24/7/365 et un temps de réponse d’une heure. Ces deux produits incluent une assistance pratique au cas où vous auriez besoin d’une assistance supplémentaire.
Si vous êtes chercheur en sécurité, vous pouvez divulguez-nous vos découvertes de manière responsable et obtenez un ID CVE et obtenez votre nom sur leClassement Wordfence Intelligence.
Je tiens à remercier tout particulièrement mon collègue Ramuel Gall, chercheur principal en sécurité chez Wordfence, pour son aide dans cette recherche et cet article.
Source link