Notre équipe Threat Intelligence a découvert plusieurs vulnérabilités présentes dans XCloner Backup and Restore, un plugin WordPress installé sur plus de 30 000 sites. Ces vulnérabilités auraient pu permettre à un attaquant de modifier des fichiers arbitraires, y compris des fichiers PHP.

La Cybersecurity and Infrastructure Security Agency du gouvernement américain met en garde contre une activité malveillante persistante détectée qui remonte à des infections LokiBot.

Un prochain changement d’API rompra les liens Facebook et Instagram oEmbed sur le Web à partir du 24 octobre. Google a lancé le plugin Web Stories pour WordPress avec une interface WYSIWYG glisser-déposer pour créer du contenu en plein écran.

Drupal corrige une vulnérabilité critique XSS reflétée. Et une vulnérabilité XSS stockée critique dans Spark AR Studio d’Instagram rapporte 25 000 $ à un chercheur de 14 ans.

Voici les horodatages et les liens au cas où vous voudriez sauter, et une transcription est ci-dessous.
0:12 Vulnérabilités critiques corrigées dans Plugin de sauvegarde et de restauration XCloner
2:01 CISA met en garde contre des augmentation du malware LokiBot
3:05 Le prochain changement d’API cassera Facebook et Instagram oIntégrer des liens sur le Web à partir du 24 octobre
4:08 Patchs Drupal bogue XSS critique reflété et autres failles de sécurité
5:25 Google lance Web Stories pour le plugin WordPress et communauté ‘Créateurs Web’
6:08 Vulnérabilité XSS stockée critique dans Spark AR Studio d’Instagram rapporte 25000 $ à un chercheur de 14 ans

Trouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 88

Scott Miller:

Salut tout le monde. C’est Scott de Wordfence. Vous écoutez Think Like a Hacker, le podcast hebdomadaire sur WordPress, la sécurité et l’innovation. Passons aux histoires de cette semaine.

Notre premier article de cette semaine examine les vulnérabilités critiques corrigées dans le plugin XCloner Backup and Restore. Le 14 août, notre équipe Threat Intel ici chez Wordfence a trouvé plusieurs vulnérabilités dans le plugin XCloner Backup and Restore, qui est installé sur plus de 30 000 sites. Le plugin est conçu pour fournir aux utilisateurs de WordPress des sauvegardes facilement personnalisables et une fonctionnalité de restauration facile. La vulnérabilité découverte par notre équipe Threat Intel a permis aux attaquants authentifiés disposant de capacités de niveau abonné ou supérieures de modifier des fichiers arbitraires, tels que des fichiers PHP. Ces capacités pourraient permettre à un attaquant de réaliser l’exécution de code à distance, ainsi que d’autres accès malveillants. Le plug-in contenait également plusieurs autres points de terminaison vulnérables à la falsification de requêtes intersites ou CSRF.

Après avoir trouvé les vulnérabilités le 14 août, nous avons contacté l’équipe du plugin le 17, et peu de temps après, nous avons pu divulguer les détails du problème à leur équipe le lendemain, le 18. L’équipe derrière le plugin XCloner Backup and Restore a rapidement publié un correctif initial le 19 août, qui a résolu le problème le plus grave. Un correctif supplémentaire a été publié le 8 septembre pour résoudre les problèmes restants que nous avions découverts.

Les utilisateurs de Wordfence Premium ont reçu une règle de pare-feu le 17 août pour se protéger contre tout exploit visant ces vulnérabilités. Les sites utilisant la version gratuite de Wordfence ont reçu la même protection le 17 septembre. Ces problèmes sont considérés comme des problèmes de sécurité critiques car ils pourraient conduire à l’exécution de code à distance sur le serveur d’un site vulnérable. Nous vous recommandons de mettre à jour la version entièrement corrigée, qui est 4.2.153, immédiatement si vous ne l’avez pas déjà fait.

Dans notre prochain article, le CISA met en garde contre une augmentation notable du malware LokiBot. La Cybersecurity and Infrastructure Security Agency, ou CISA, a émis un avis d’avertissement concernant une augmentation de l’utilisation du malware LokiBot par des acteurs malveillants. LokiBot est un cheval de Troie répandu et un soi-disant voleur d’informations, et depuis juillet, nous avons constaté une augmentation des attaques. Une fois que le logiciel malveillant est sur votre appareil, il utilise ses capacités pour vérifier les applications et exfiltrer les informations et les informations d’identification des applications. LokiBot a également des capacités de porte dérobée, qui peuvent permettre aux attaquants d’effectuer des tâches malveillantes supplémentaires. Le CISA a développé une signature snort à utiliser pour détecter l’activité du réseau, qui serait associée à LokiBot, et qui peut être trouvée sur le site CISA.gov. Assurez-vous de maintenir des signatures antivirus à jour et un système d’exploitation à jour pour lutter contre cela.

Dans notre troisième article de cette semaine, les changements à venir de l’API briseront les liens Facebook et Instagram oEmbed sur le Web. Dans un prochain changement le 24 octobre, Facebook et Instagram supprimeront le support oEmbed non authentifié causant des problèmes pour le contenu de millions de sites Web. Les utilisateurs devront ensuite générer un identifiant d’application avec un compte de développement afin de procéder à l’intégration de liens via oEmbed. En réponse, WordPress supprimera également Facebook en tant que fournisseur oEmbed dans une prochaine version. Cela devrait également causer des problèmes avec une grande quantité de contenu. Dans le plugin Gutenberg, les blocs Facebook et Instagram ont été supprimés dans une version récente. Les liens oEmbed actuels continueront de fonctionner jusqu’à ce que les modifications de l’API Facebook soient mises en ligne.

Cela va sans aucun doute frustrer les utilisateurs lorsqu’ils rencontrent des problèmes et ne peuvent plus intégrer les liens Facebook et Instagram aussi facilement qu’ils l’étaient dans le passé. De plus, ces changements vont remettre en question les éditeurs à l’avenir et la manière dont ils partagent les liens multimédias dans leur contenu.

Ensuite, Drupal corrige un bogue critique de script intersite reflété et quelques autres failles de sécurité. Drupal, le système de gestion de contenu open source populaire, a récemment corrigé une vulnérabilité de script XSS ou intersite ainsi que des problèmes moins graves. Ces problèmes pourraient permettre à un attaquant d’exploiter la façon dont le HTML est rendu pour les formulaires affectés afin d’exploiter la vulnérabilité de script intersite, selon une récente déclaration de Drupal.

Cela a été considéré comme un problème critique, et Drupal, qui alimente près de 600 000 sites, a corrigé ce problème aux côtés de quatre autres qui ont été classés comme modérément critiques. Des correctifs de sécurité ont été ajoutés aux mises à jour logicielles publiées le 16 septembre. Toutes les failles mentionnées ici ont un impact sur les lignes de version Drupal 8 et 9. Si vous utilisez actuellement Drupal 8.8.9 ou 8.7.9 ou une version antérieure, il est recommandé de passer à Drupal 8.8.10. Les versions 8.9.5 et antérieures nécessitent une mise à jour vers 8.9.6, et les versions 9.0.5 et antérieures sont recommandées pour la mise à jour vers 9.0.6.

Passant à de bonnes nouvelles, Google a lancé un plugin Web Stories pour WordPress. Le plugin Web Stories for WordPress comportera une interface facile à utiliser par glisser-déposer conçue pour créer un contenu interactif en plein écran. Le plugin Web Stories for WordPress comprend des modèles, ainsi qu’une bibliothèque de photos et des vidéos gratuites de Coverr. Le plugin propose des outils de personnalisation avancés ainsi que des capacités d’édition visuelle complètes. Le plugin est open-source, donc il y aura plus de modèles et de contenu communautaire ajoutés à l’avenir. Le plugin semble potentiellement être un excellent moyen d’interagir avec votre public sur votre site.

Dans notre dernière histoire de cette semaine, Andres Alonso, un chercheur de 14 ans, a encaissé une prime de bogue de 25000 $ après avoir découvert une vulnérabilité critique de script intersite dans Spark AR Studio d’Instagram. Spark AR Studio d’Instagram est utilisé pour créer des effets de réalité augmentée pour les photos et les vidéos. Alonso a déclaré qu’il ne recherchait pas les vulnérabilités, mais qu’il fabriquait des filtres Instagram pour lui-même. Alonso explorait comment Spark AR génère les liens de filtre pour tester le filtre sur un smartphone lorsqu’il a rencontré une faille, l’incitant à tenter sans succès de script intersite, mais a finalement conduit à une redirection ouverte réussie. Une fois soumis à Facebook, leur équipe de sécurité a enquêté plus avant sur la faille et a constaté qu’elle pouvait être transformée en scripts intersites. Facebook a ensuite informé Alonso qu’il recevrait les 25 000 $ pour la prime et a également confirmé que la vulnérabilité n’était pas exploitée à l’état sauvage.

C’est tout pour cette semaine sur Think Like a Hacker. J’espère que les nouvelles vous ont bien trouvé. Consultez la liste de diffusion Wordfence sur wordfence.com pour rester à jour avec les dernières nouvelles en matière de sécurité. En attendant, passez un excellent week-end. Merci pour l’écoute. Nous vous rattraperons bientôt.

Suis moi sur Twitter @wfscottmiller. Vous pouvez trouver Wordfence sur Twitter, Facebook, Instagram. Vous pouvez également nous trouver sur Youtube, où nous avons notre Wordfence Live hebdomadaire les mardis à midi Est, 9h00 du Pacifique.



Source link