Le 20 mars 2023, l’équipe Wordfence Threat Intelligence a lancé le processus de divulgation responsable de deux vulnérabilités dans Shield Security, un plugin de sécurité avec plus de 50 000 installations. L’une de ces vulnérabilités permettait à des attaquants non authentifiés d’injecter du JavaScript malveillant dans un tableau de bord administrateur dans certaines configurations, tandis qu’une autre permettait à des attaquants authentifiés d’usurper des entrées de journal dans le même tableau de bord, ce qui pourrait également être utilisé pour exploiter la première vulnérabilité dans des configurations où la technique non authentifiée était pas viable.

Nous avons reçu une réponse et envoyé une divulgation complète, et une version corrigée, 17.0.18, a été publiée le même jour.

Clôture des mots Prime, Se soucieret Réponse les utilisateurs ont reçu une règle de pare-feu pour se protéger contre tout exploit ciblant cette vulnérabilité le 20 mars 2023. Les sites utilisant encore la version gratuite de Wordfence ont reçu la même protection le 19 avril 2023.


Résumé des vulnérabilités de Wordfence Intelligence

Le plugin Shield Security pour WordPress est vulnérable au Cross-Site Scripting stocké dans les versions jusqu’à 17.0.17 incluses via l’en-tête « User-Agent ». Cela permet à des attaquants non authentifiés d’injecter des scripts Web arbitraires dans des pages qui s’exécutent chaque fois qu’un utilisateur accède à une page injectée.


Le plugin Shield Security pour WordPress est vulnérable à l’autorisation manquante sur l’action AJAX ‘theme-plugin-file’ dans les versions jusqu’à 17.0.17 incluses. Cela permet aux attaquants authentifiés d’ajouter des entrées de journal d’audit arbitraires indiquant qu’un thème ou un plugin a été modifié, et est également un vecteur de Cross-Site Scripting via CVE-2023-0992.


Analyse de vulnérabilité

Le plug-in Shield Security comprend un certain nombre de fonctionnalités, notamment un journal d’audit qui enregistre certains types d’activités suspectes, telles que l’installation de plug-ins et de thèmes, la modification, la suppression de messages et d’autres types d’activités susceptibles d’avoir un impact sur le site. Bien que la plupart de ces événements nécessitent une authentification ou des privilèges plus élevés pour se déclencher, nous avons constaté que certains événements pouvaient être déclenchés par des utilisateurs non authentifiés. En particulier, les tentatives infructueuses d’authentification à l’aide de mots de passe d’application, les enregistrements de nouveaux utilisateurs et les activités de spam font partie des actions enregistrées pour les utilisateurs non authentifiés.

Le journal d’audit enregistre des métadonnées sur le client qui a effectué l’activité consignée, y compris l’agent utilisateur du client, accessible en cliquant sur l’icône de balise « Meta » sur une entrée du journal d’audit. Malheureusement, les métadonnées n’ont pas été échappées lors de leur sortie. Alors que la plupart des métadonnées collectées à propos d’une requête ont un format très strict et ne peuvent être usurpées que dans une mesure limitée, les chaînes User-Agent sont alphanumériques et nous avons pu injecter un script dans un iframe dans l’en-tête User-Agent qui s’est déclenché. lorsqu’un administrateur a consulté une entrée d’événement :

Bien que cet exploit nécessite techniquement une interaction de l’utilisateur, il peut être considéré comme une interaction utilisateur « passive », c’est-à-dire qu’il ne nécessite pas d’inciter l’administrateur à effectuer des actions qu’il n’aurait peut-être pas effectuées autrement. Selon la charge utile utilisée, un attaquant pourrait utiliser le script s’exécutant dans le navigateur de l’administrateur pour créer un nouveau compte administrateur sous son contrôle. De plus, cet exploit peut être automatisé et peut être exploité par des attaquants non authentifiés via une variété de vecteurs, dont au moins un est susceptible d’être présent dans la plupart des configurations de site courantes. En tant que tel, il obtient sa cote de gravité élevée.

La deuxième vulnérabilité était beaucoup moins grave et consistait en une vérification d’autorisation manquante sur l’action AJAX « edit-theme-plugin-file », qui est utilisée pour enregistrer les modifications apportées aux fichiers de plugin ou de thème. La principale conséquence est qu’un attaquant authentifié peut usurper une entrée du journal d’audit indiquant que tout fichier appartenant à un plugin ou à un thème du site a été modifié. Bien qu’il s’agisse principalement d’une nuisance, puisqu’il peut être utilisé pour créer des entrées de journal d’audit, il s’agit d’un autre vecteur pour exploiter la vulnérabilité de script intersite susmentionnée.

Calendrier de divulgation

20 mars 2023 – Wordfence Prime, Se soucieret Réponse les utilisateurs reçoivent une règle de pare-feu pour fournir une protection contre tout exploit susceptible de cibler cette vulnérabilité. Nous divulguons le plugin de manière responsable au développeur, qui répond rapidement et publie un correctif dans la version 17.0.18.
19 avril 2023 – La règle de pare-feu devient disponible pour tous les utilisateurs de Wordfence.

Conclusion

Dans l’article d’aujourd’hui, nous avons détaillé une vulnérabilité de script intersite à haute gravité dans Shield Security. Nous avons également détaillé un problème de moindre gravité permettant aux attaquants authentifiés d’usurper les entrées du journal d’audit indiquant que les fichiers de plugin et de thème avaient été modifiés. Ces vulnérabilités ont été entièrement corrigées dans la version 17.0.18.

Clôture des mots Prime, Se soucieret Réponse les utilisateurs ont reçu une règle de pare-feu pour se protéger contre tout exploit ciblant cette vulnérabilité le 20 mars 2023. Les sites utilisant encore la version gratuite de Wordfence ont reçu la même protection le 19 avril 2023.

Si vous connaissez un ami ou un collègue qui utilise le plugin Shield Security sur son site, nous vous recommandons fortement de lui transmettre cet avis car la vulnérabilité de script intersite peut permettre à des attaquants non authentifiés d’exécuter du JavaScript malveillant dans le navigateur d’un administrateur, ce qui peut conduire à reprise du site.

Si vous êtes chercheur en sécurité, vous pouvez divulguez-nous vos découvertes de manière responsable et obtenez un ID CVE et obtenez votre nom sur le Classement Wordfence Intelligence. Merci à Paul Goodchild de Shield Security pour avoir corrigé le problème rapidement.


Source link