Notre équipe Threat Intelligence a révélé de nombreuses vulnérabilités cette semaine, y compris une vulnérabilité critique dans les thèmes Divi et Extra ainsi que dans le plugin Divi Builder. Au total, cette vulnérabilité a affecté plus de 700 000 sites. Une vulnérabilité trouvée dans The Official Facebook Chat Plugin a créé un vecteur d’attaques d’ingénierie sociale car elle permettait à un attaquant de se faire passer pour un propriétaire de site via le chat. Les vulnérabilités d’injection d’objets découvertes dans le plugin Newsletter ont affecté plus de 300 000 sites. Nous examinons également les charges retenues contre 3 personnes en relation avec le récent piratage de Twitter. L’équipe organisatrice de WordCamp US a pris la décision difficile d’annuler WCUS cette année au milieu de la fatigue des événements en ligne.
Voici les horodatages et les liens au cas où vous voudriez sauter, et une transcription est ci-dessous.
0:13 Une vulnérabilité critique expose plus de 700 000 sites en utilisant Divi, Extra et Divi Builder
2:10 le Plugin officiel de chat Facebook Vecteur créé pour les attaques d’ingénierie sociale
4:00 Plugin de la newsletter Les vulnérabilités affectent plus de 300 000 sites
5:33 Trois suspects inculpés pour des rôles dans Piratage Twitter, Arnaque Bitcoin
6:44 WordCamp US 2020 Annulé En raison du stress pandémique et de la fatigue liée aux événements en ligne
8:03 À venir WordPress 5.5: Fonctionnalités et modifications du thème que les auteurs devraient connaître
Trouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.
Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.
Transcription de l’épisode 81
Scott Miller:
Salut tout le monde. C’est Scott de Wordfence. Voici Think Like a Hacker, le podcast hebdomadaire sur WordPress, la sécurité et l’innovation. Jetons un œil aux actualités.
Tout d’abord, la vulnérabilité critique qui a exposé plus de 700 000 sites utilisant les thèmes Divi et Extra, ainsi que le plugin Divi Builder. Le 23 juillet, notre équipe Threat Intelligence a découvert la vulnérabilité critique dans les deux thèmes et le plugin Divi Builder WordPress. Nous avons commencé par vérifier à l’époque que nos règles de pare-feu actuelles offraient déjà une protection contre les exploits. Entre les thèmes et le plugin Divi Builder, plus de 700000 sites combinés ont été exposés à une faille qui donnait aux attaquants authentifiés avec des capacités de contributeur ou de niveau supérieur la possibilité de télécharger des fichiers arbitraires, y compris des fichiers PHP.
Désormais, malheureusement, la vulnérabilité pourrait également permettre à des attaquants distants d’exécuter du code à distance sur le serveur du site vulnérable, ce qui pourrait également conduire à une prise de contrôle complète du site. La faille a été causée par une vérification de vérification côté serveur manquante. Et le cœur du code problématique pouvait être trouvé dans la fonction d’importation dans le fichier PHP de portabilité du constructeur. Notre équipe a ensuite contacté Elegant Themes au sujet de la vulnérabilité le 23 juillet, et un correctif a été publié dans la version 4.5.3 pour tous les produits le 3 août, ce qui a corrigé la vulnérabilité.
Désormais, toute personne utilisant l’un de ces deux thèmes ou le plugin Divi Builder, nous vous recommandons de vous mettre à jour vers la dernière version dès que possible. Le correctif récemment publié empêche le téléchargement de tous les fichiers, à l’exception des fichiers JSON, et garantit également que les fichiers seront suffisamment supprimés à tout stade du processus une fois qu’ils ne seront plus utilisés. Si vous utilisez Wordfence en ce moment, gratuit ou premium, vous êtes protégé contre l’exécution de code arbitraire comme celui-ci avec la protection intégrée de téléchargement de fichiers malveillants, vous n’avez donc pas à vous inquiéter, mais nous vous recommandons tout de même de mettre à jour le plugin dès que vous le pouvez.
Notre deuxième histoire de la journée concerne une vulnérabilité dans le plugin officiel de Facebook Chat. Notre équipe de renseignement sur les menaces a découvert cette vulnérabilité vers la fin du mois de juin. Le plugin, qui est installé sur plus de 80000 sites avait une faille qui permettait aux attaquants authentifiés de bas niveau de connecter leur propre Facebook. [messenger account] au chat d’un site et engager des discussions avec les visiteurs du site sur les sites concernés.
Donc, pour vous donner une idée de ce que fait ce plugin, le plugin Facebook Chat ajoute une fonctionnalité de chat popup qui permet à un propriétaire de site de connecter son Facebook [account], pour interagir avec les visiteurs du site ou les clients potentiels. Lorsqu’ils sont exploités, les attaquants pourraient alors acheminer cette fonctionnalité de chat vers leur propre page Facebook. Cela a ensuite été exploité par une action AJAX qui n’avait pas de contrôle de compatibilité pour vérifier qu’une requête provenait d’un administrateur authentifié. Le nonce qui était utilisé pour la protection de la falsification de requêtes intersites (CSRF) était facilement détectable dans le code source de n’importe quel tableau de bord wp-admin.
C’est donc un exemple d’ingénierie sociale avec des tentatives d’exploiter la faiblesse des humains par le biais d’interactions sociales. Nous voulons intrinsèquement faire confiance aux autres et si nous ne connaissons pas les moyens de nous protéger sur Internet, nous pouvons tous être vulnérables à ces types d’escroqueries. Cette vulnérabilité a été découverte par Wordfence le 26 juin, puis peu de temps après, une règle de pare-feu a été testée et publiée pour les abonnés premium. Environ un mois plus tard, le 28 juin, un correctif suffisant a été publié pour le plugin en version 1.6. Nous avons examiné comment une vulnérabilité comme celle-ci pourrait être exploitée dans le flux Heures de bureau de la semaine dernière. Vous pouvez donc vous rendre sur la chaîne YouTube de Wordfence et y jeter un coup d’œil. Et nous passons également en revue d’autres bonnes pratiques de sécurité pour assurer votre sécurité.
Notre prochaine histoire est une vulnérabilité affectant plus de 300 000 sites avec le plugin Newsletter. Le plugin Newsletter est un éditeur visuel complet pour les campagnes par e-mail, qui compte plus de 300 000 installations, et a également récemment reçu un correctif pour une vulnérabilité active. Au cours de notre propre enquête sur la vulnérabilité corrigée, nous avons découvert deux vulnérabilités supplémentaires et plus graves, notamment une vulnérabilité de script intersite et d’injection d’objets PHP.
Avec ces vulnérabilités, il était possible pour un attaquant de faire afficher du JavaScript malveillant de différentes manières. Fondamentalement, cela a été fait en envoyant une demande de publication contenant du JavaScript, ce qui a entraîné le rendu de JavaScript dans le navigateur d’un utilisateur connecté.
Maintenant, peu de temps après la découverte de ces vulnérabilités, nous avons publié de nouvelles règles de pare-feu pour nos abonnés premium pour se protéger à la fois contre les vulnérabilités de script intersite XSS et d’injection d’objets PHP. Ces nouvelles règles de pare-feu que nous avons publiées ont été envoyées pour la première fois à nos abonnés premium le 15 juillet et seront disponibles pour nos utilisateurs gratuits le 14 août. Notre règle de pare-feu intégrée d’injection d’objets PHP dans Wordfence aurait protégé contre l’une de ces vulnérabilités dans la plupart des cas, bien que, par prudence, nous avons également publié une règle de pare-feu mise à jour spécifiquement pour ce cas. Nous vous recommandons de vous mettre à jour avec la dernière version du plugin Newsletter, qui au moment du podcast est la version 6.8.3.
Il y a donc eu une mise à jour sur le récent piratage de Twitter, et les autorités ont inculpé trois personnes en relation avec l’attaque majeure. La première arrestation a été celle de Graham Clark, 17 ans, de Tampa, en Floride, qui aurait orchestré toute l’attaque. Le FBI, l’IRS et les services secrets se sont coordonnés pour accuser Clark en tant qu’adulte.
Pour vous mettre au courant de l’histoire originale, les pirates ont compromis un employé de Twitter dans une attaque de phishing par téléphone le 15 juillet 2020, lorsqu’ils ont peu après eu accès à des comptes Twitter et à des outils de support internes pour exécuter une arnaque Bitcoin. Maintenant, au départ, ils sont repartis avec environ 120000 dollars de Bitcoin. Il convient de noter qu’au moment de l’attaque, un millier d’employés et de sous-traitants de Twitter avaient accès aux outils d’assistance interne de l’entreprise, qui ont été utilisés pour mener cette attaque. Les deux autres personnes inculpées sont Mason Sheppard, 19 ans, du Royaume-Uni, et Nima Fazeli, 22 ans, d’Orlando, en Floride. Sheppard et Fazeli ont été inculpés à San Francisco, en Californie.
La semaine dernière, nous avons parlé de WordPress annonçant que les WordCamps 2020 restants seraient virtuels. Depuis lors, les organisateurs de WordCamp US ont officiellement annulé WordCamp US pour cette année, initialement prévue du 27 au 29 octobre. L’événement a été transformé en événement virtuel en avril, mais étant donné la difficulté des récents WordCamps en ligne, les organisateurs ont estimé qu’une annulation complète était la bonne décision. Le communiqué officiel disait: «C’est le cœur lourd que nous avons pris la décision d’annuler l’événement WordCamp US de cette année. À la lumière de la pandémie continue, de la fatigue des événements en ligne pour les participants, des organisateurs et des bénévoles, et du désir que les expériences WordCamp soient des expériences WordCamp traditionnelles, nous avons pris la décision difficile d’arrêter la planification de cette année et d’annuler WordCamp US 2020. «
Parallèlement à l’annulation de WordCamp US, des questions ont été soulevées au sujet du discours de Matt Mullenweg sur l’état de la parole. Les organisateurs ont déclaré que cela devait encore se produire, mais que cela prendrait probablement un format différent. Il y a des idées qui circulent selon lesquelles l’état de la parole sera son propre événement. Nous aimerions également savoir ce que vous pensez des événements virtuels. Alors n’hésitez plus et laissez-nous un commentaire dans les notes de l’émission.
Notre dernière histoire de la journée est la prochaine version de WordPress, qui est la 5.5. La sortie est prévue pour mardi prochain, et la mise à jour devrait introduire de nouvelles fonctionnalités et pas mal de changements. On peut soutenir que les changements les plus importants dont les développeurs devraient avoir connaissance sont les mises à jour automatiques et les modifications HTML directes apportées à la sortie du logo personnalisé. Nous allons plus en détail sur cette mise à jour sur notre Épisode des heures de bureau, que nous diffusons tous les mardis à midi, heure de l’Est, sur notre chaîne YouTube.
Nous vous remercions de votre écoute et espérons que vous avez apprécié l’épisode de cette semaine. Revenez la semaine prochaine pour plus d’informations sur la sécurité. Assurez-vous de nous suivre sur les réseaux sociaux. Vous pouvez trouver Wordfence sur Twitter, Facebook, Instagram, et vous pouvez également nous trouver sur Youtube, où nous avons notre hebdomadaire Heures de travail les mardis à midi, heure de l’Est, à 9 h 00 du Pacifique. Comme toujours. Si vous souhaitez approfondir une histoire, nous avons des liens publiés dans nos notes d’émission.
Merci pour l’écoute. Et nous vous verrons la semaine prochaine sur Think Like a Hacker.
Merci de nous donner un avis ou de nous donner un avis sur Podcasts Apple.