Aujourd’hui, 21 avril 2021, l’équipe de Wordfence Threat Intelligence a pris connaissance d’une vulnérabilité critique de 0 jour qui est activement exploitée dans Addons de création de page Kaswara Modern WPBakery, un plugin premium qui, selon nous, compte plus de 10 000 installations. Cette vulnérabilité a été signalée ce matin à WPScan par «Robin Goodfellow». La faille exploitée permet à des attaquants non authentifiés de télécharger des fichiers PHP malveillants sur un site WordPress et de réaliser finalement l’exécution de code à distance pour prendre le contrôle du site.
En plus de la faille activement exploitée, nous avons découvert plusieurs points de terminaison vulnérables qui pourraient permettre aux attaquants de faire un large éventail de choses comme la suppression de fichiers arbitraires et l’injection de Javascript malveillant. En raison du fait que ce plugin a été fermé et que le développeur du plugin n’a pas répondu, nous vous exhortons à supprimer complètement ce plugin de votre site WordPress immédiatement. Nous avons identifié plusieurs vulnérabilités dans ce plugin qui pourraient permettre à des attaquants non authentifiés de prendre le contrôle de sites WordPress vulnérables, et de nombreuses autres vulnérabilités avec des impacts moindres.
Les clients de Wordfence Premium ont reçu ce matin, le 21 avril 2021, des règles de pare-feu pour se protéger contre l’exploitation active de ces vulnérabilités. Les utilisateurs de Wordfence utilisant toujours la version gratuite bénéficieront de la même protection le 21 mai 2021.
Plugin concerné: Addons de création de page Kaswara Modern WPBakery
Plugin Slug: Kaswara
Versions affectées:
ID CVE: CVE-2021-24284
Score CVSS: 10,0 (critique)
Vecteur CVSS: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
Version entièrement corrigée: AUCUN PATCH DISPONIBLE.
Pour le moment, nous publions des détails minimes car il s’agit d’une vulnérabilité activement exploitée sans correctif disponible. Nous pouvons décider de publier plus de détails à l’avenir, mais en attendant, nous vous recommandons de prendre les mesures appropriées pour sécuriser votre site.
Indicateurs de compromis
À l’heure actuelle, nous avons des indicateurs limités de compromis. Cependant, en fonction de la fonctionnalité de la vulnérabilité, nous vous recommandons de vérifier le /wp-content/uploads/kaswara/ répertoire et tous les sous-répertoires pour tous les fichiers PHP. Si vous trouvez un fichier PHP dans ce répertoire, vous pouvez supposer que votre site a été compromis et vous devez déclencher le processus de nettoyage du site décrit ici.
Nous mettrons à jour cette section au fur et à mesure que nous en apprendrons plus.
Chronologie de la réponse
21 avril 2021 14h22 UTC – Nouvelle entrée de vulnérabilité dans WPScan rapportant une vulnérabilité de 0 jour dans le plugin Modern WPBakery Page Builder Addons. Wordfence Threat Intelligence est alerté du nouveau rapport de vulnérabilité et commence immédiatement à trier la vulnérabilité.
21 avril 2021 14h57 UTC – Nous vérifions l’existence de la vulnérabilité et créons une preuve de concept.
21 avril 2021 15h00 UTC – Nous créons et commençons à tester une règle de pare-feu pour se protéger contre la vulnérabilité.
21 avril 2021 15:08 UTC – Nous découvrons des points de terminaison vulnérables supplémentaires et adaptons la règle WAF pour fournir une protection contre ces vulnérabilités supplémentaires. Les tests se poursuivent sur la règle WAF.
21 avril 2021 15:48 UTC – La première règle de pare-feu est déployée auprès des utilisateurs premium.
21 avril 2021 16h14 UTC – Nous créons et commençons à tester une deuxième règle de pare-feu pour nous protéger contre les vulnérabilités supplémentaires trouvées dans le plugin.
21 avril 2021 16h26 UTC – La deuxième règle de pare-feu est déployée auprès des utilisateurs premium.
21 mai 2021 – Les utilisateurs de Wordfence Free reçoivent les règles de pare-feu.
Conclusion
Dans l’article d’aujourd’hui, nous avons détaillé une vulnérabilité zero-day activement exploitée dans Kaswara Modern WPBakery Page Builder Addons, un plugin contenant de nombreuses vulnérabilités que les attaquants non authentifiés peuvent utiliser pour télécharger des fichiers malveillants, parmi de nombreuses autres failles. Cela peut être utilisé pour reprendre complètement un site WordPress. Ces vulnérabilités restent actuellement non corrigées ce matin et, par conséquent, nous vous recommandons fortement de désactiver et de supprimer le plugin jusqu’à ce qu’un correctif soit publié. En raison de l’absence de réponse du développeur, un correctif peut ne pas être publié, auquel cas nous vous recommandons de trouver un remplacement raisonnable qui est activement maintenu par son développeur.
Wordfence Premium les clients ont reçu des règles de pare-feu le 21 avril 2021 pour se protéger contre l’exploitation active de cette vulnérabilité et les vulnérabilités supplémentaires que nous avons découvertes. Les utilisateurs de Wordfence utilisant toujours la version gratuite bénéficieront de la même protection le 21 mai 2021.
Veuillez transmettre et partager largement cet article afin que les propriétaires de sites WordPress utilisant ce plugin vulnérable puissent prendre des mesures rapides pour protéger leurs sites, car cette vulnérabilité zero-day est actuellement exploitée dans la nature.
Un merci spécial à Ramuel Gall, analyste des menaces de Wordfence et ingénieur QA, pour ses recherches sur la vulnérabilité et son aide à obtenir rapidement une règle de pare-feu pour nos clients.
Source link