Le 6 mai 2020, notre équipe Threat Intelligence a reçu des rapports d’exploitation active de vulnérabilités dans deux plugins associés, Elementor Pro et Extensions ultimes pour Elementor. Nous avons examiné les fichiers journaux des sites compromis pour confirmer cette activité.

Comme il s’agit d’une attaque active, nous avons voulu vous alerter afin que vous puissiez prendre des mesures pour protéger votre site. Nous limitons intentionnellement la quantité d’informations fournies par ce post, car il s’agit d’une attaque en cours et la vulnérabilité la plus critique n’a pas encore été corrigée.

Nous avons publié une règle de pare-feu qui protège Wordfence Premium les utilisateurs contre l’exploitation de cette vulnérabilité. Les utilisateurs de Wordfence gratuits seront protégés contre cette vulnérabilité après 30 jours, le 5 juin 2020.

Quels plugins sont affectés par cette attaque

Il y a deux plugins affectés par cette campagne d’attaque. Le premier est Elementor Pro, fabriqué par Elementor. Ce plugin a une vulnérabilité zero day qui est exploitable si les utilisateurs ont un enregistrement ouvert.

Le deuxième plugin affecté est Ultimate Addons for Elementor, qui est fabriqué par Brainstorm Force. Une vulnérabilité dans ce plugin permet d’exploiter la vulnérabilité d’Elementor Pro, même si l’inscription sur le site n’est pas activée.

Nous estimons qu’Elementor Pro est installé sur plus d’un million de sites et que Ultimate Addons a une base d’installation d’environ 110 000.

Elementor Pro

Pour être clair, cela n’a pas d’impact sur la plugin Elementor gratuit avec plus de 4 millions d’installations disponibles à partir du référentiel de plugins WordPress. Le plugin Elementor Pro est un téléchargement séparé disponible sur le site Web Elementor.com. Nous estimons qu’Elementor Pro compte plus d’un million d’installations actives.

La vulnérabilité dans Elementor Pro, qui est considérée comme critique en termes de gravité, permet aux utilisateurs enregistrés de télécharger des fichiers arbitraires menant à l’exécution de code à distance. Il s’agit d’une vulnérabilité zéro jour.

Un attaquant capable d’exécuter du code à distance sur votre site peut installer une porte dérobée ou webshell pour maintenir l’accès, obtenir un accès administratif complet à WordPress, ou même supprimer complètement votre site. En raison de la vulnérabilité non corrigée pour le moment, nous excluons toute autre information.

Nous avons des données via un autre fournisseur qui indiquent que l’équipe Elementor travaille sur un correctif. Nous avons contacté Elementor et n’avons pas reçu immédiatement de confirmation de cela avant la publication.

Extensions ultimes pour Elementor

Le plugin Ultimate Addons pour Elementor a récemment corrigé une vulnérabilité dans la version 1.24.2 qui permet aux attaquants de créer des utilisateurs de niveau abonné, même si l’inscription est désactivée sur un site WordPress.

Deux vulnérabilités utilisées de concert pour attaquer des sites

Les attaquants peuvent cibler directement la vulnérabilité zero day dans Elementor Pro sur des sites avec inscription d’utilisateur ouverte.

Dans les cas où l’enregistrement d’un utilisateur n’est pas activé sur un site, les attaquants utilisent la vulnérabilité Ultimate Addons for Elementor sur des sites non corrigés pour s’enregistrer en tant qu’abonné. Ensuite, ils utilisent les nouveaux comptes enregistrés pour exploiter la vulnérabilité Zero Day d’Elementor Pro et réaliser l’exécution de code à distance.

Ce que tu devrais faire

Si vous utilisez Wordfence Premium, votre site a reçu une règle de pare-feu pour vous protéger contre cette attaque active.

Il existe un certain nombre de mesures qu’un propriétaire de site n’utilisant pas Wordfence Premium peut prendre pour protéger son site contre cette attaque active.

Mettre à niveau les extensions ultimes pour Elementor immédiatement. Assurez-vous que Ultimate Addons pour Elementor est la version 1.24.2 ou supérieure.

Passez à Elementor gratuitement jusqu’à ce qu’un patch soit publié pour Elementor Pro. Vous pouvez le faire en désactivant Elementor Pro et en le supprimant de votre site. Cela supprimera la vulnérabilité de téléchargement de fichiers.

Une fois le correctif publié, vous pouvez réinstaller la version corrigée d’Elementor Pro sur votre site et retrouver toute fonctionnalité perdue. Vous pouvez perdre temporairement certains éléments de conception une fois rétrogradés, mais dans nos tests, ces éléments sont revenus lors de la réinstallation d’Elementor Pro. Néanmoins, une sauvegarde avant la rétrogradation est toujours prudente.

Pointe: Si vous avez besoin d’une liste des emplacements où Elementor Pro est installé, vous pouvez vous connecter à votre compte sur Elementor.com et aller dans «Achats» puis «Voir les sites Web» pour une liste complète où Elementor Pro est installé avec cette licence.

Recherchez tout utilisateur de niveau abonné inconnu sur votre site. Cela peut indiquer que votre site a été compromis dans le cadre de cette campagne active. Si c’est le cas, supprimez ces comptes.

Recherchez les fichiers nommés «wp-xmlrpc.php». Ceux-ci peuvent être considérés comme une indication de compromis, alors vérifiez sur votre site la preuve de ce fichier. Wordfence vous alertera si un fichier contenant un malware est détecté.

Supprimez tous les fichiers ou dossiers inconnus trouvés dans le répertoire / wp-content / uploads / elementor / custom-icons /. Les fichiers situés ici après la création d’un compte d’abonné non autorisé sont une indication claire de compromis.

Si vous voyez une infection généralisée, utilisez Wordfence pour nettoyer votre site. Le guide lié vous aidera, ou vous pouvez engager notre équipe des services de sécurité pour une nettoyage professionnel du site. Comme toujours, les clients premium ont accès à nos ingénieurs de support client en cas de questions.

Merci à Gerroald Barron, ingénieur du service client, d’avoir porté ce problème à notre attention, ainsi qu’à Stephen Rees-Carter, Ramuel Gall et Kathy Zant pour leur aide dans la recherche de cette attaque et les tests d’atténuation.


Source link

%d blogueurs aiment cette page :