Cette entrée a été publiée dans Recherche, Vulnérabilités, Sécurité WordPress le 17 novembre 2020 par Ram Gall 0 réponses

Le 17 novembre 2020, notre équipe Threat Intelligence a remarqué une vague d’attaques à grande échelle contre des vulnérabilités d’injection de fonction récemment signalées dans des thèmes utilisant le Framework Epsilon, qui, selon nous, sont installés sur plus de 150000 sites. Jusqu’à présent, nous avons assisté à une augmentation de plus de 7,5 millions d’attaques contre plus de 1,5 million de sites ciblant ces vulnérabilités, provenant de plus de 18 000 adresses IP. Alors que nous voyons parfois des attaques ciblant un grand nombre de sites, la plupart d’entre elles ciblent des vulnérabilités plus anciennes.

Cette vague d’attaques cible des vulnérabilités qui n’ont été corrigées que ces derniers mois. Tous les utilisateurs de Wordfence sont protégés contre ces attaques, y compris les clients Wordfence Premium et les sites exécutant toujours la version gratuite de Wordfence.

Thèmes vulnérables

Les versions suivantes des thèmes suivants sont vulnérables à ces attaques:

Galbé <= 1,2,7
NewsMag <= 2.4.1
Activello <= 1,4,0
Illdy <= 2.1.4
Allégiant <= 1.2.2
Journal X <= 1.3.1
Pixova Lite <= 2.0.5
Éclat <= 1,2,7
MedZone Lite <= 1.2.4
Regina Lite <= 2.0.4
Transcender <= 1.1.8
Affluent <1.1.0
Bonkers <= 1.0.4
Antreas <= 1.0.2
NatureMag Lite <= 1.0.5

Attaques probantes – Pour l’instant

Pour le moment, la grande majorité de ces attaques semblent être des attaques de détection, conçues pour déterminer si un site a un thème vulnérable installé plutôt que pour effectuer une chaîne d’exploit, bien que l’exécution complète de code à distance (RCE) menant à la prise de contrôle du site soit possible. avec ces vulnérabilités. Même si tous les utilisateurs de Wordfence sont protégés, nous vous recommandons vivement de mettre à jour dès que possible. Nous ne fournissons pas de détails supplémentaires sur les attaques pour le moment, car l’exploit ne semble pas encore être dans un état mature et un grand nombre d’adresses IP sont utilisées. Ces attaques utilisent POST demandes à admin-ajax.php et en tant que tel, ne laissez pas d’entrées de journal distinctes, bien qu’elles soient visibles dans Wordfence Live Traffic.

Que devrais-je faire?

Si votre site Web exécute l’un de ces thèmes, il est essentiel de mettre à jour une version corrigée si elle est disponible. Si aucune version corrigée n’est disponible, vous voudrez passer temporairement à un autre thème ou utiliser un pare-feu comme Wordfence, soit Prime ou gratuit, qui bloque ces attaques. Si vous avez effectué des personnalisations sur ces thèmes sans utiliser de thème enfant, vous souhaiterez télécharger une copie de sauvegarde de la version actuelle avant la mise à jour. Si une personne que vous connaissez utilise l’un de ces thèmes, partagez cet article pour vous assurer qu’elle met également à jour son site.

Avez-vous aimé cette publication? Partagez-le!


Source link