Dans l’actualité de cette semaine, notre équipe Threat Intelligence a découvert une vulnérabilité dans le plugin wpDiscuz, affectant plus de 80 000 sites WordPress. Une attaque par injection SQL aveugle a affecté le service d’analyse Waydev, exposant des jetons OAuth pour les référentiels GitHub des éditeurs de logiciels, entraînant de nouvelles violations. Un débat sur les avis d’administration problématiques sur le tableau de bord d’administration de WordPress a amené beaucoup de gens à se demander comment résoudre au mieux le problème, tandis que WordCamps passe à tout virtuel en 2020. Et enfin, l’attaque de ransomware de Garmin prend plus que le comptage des étapes.

Voici les horodatages et les liens au cas où vous voudriez sauter, et une transcription est ci-dessous.
0:13 Téléchargement de fichiers critiques vulnérabilité corrigée dans le plugin wpDiscuz
1:46 Des pirates ont volé des jetons GitHub et GitLab OAuth à Cabinet d’analyse Git Waydev
4:04 Les auteurs de plugins sont-ils responsables de la Mauvaise expérience des avis d’administration?
17h30 WordPress pour s’en tenir Meetups et WordCamps en ligne uniquement
6:27 Garmin est victime de piratage majeur de ransomware

Trouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 80

Scott Miller:
Salut les gars. C’est Scott de Wordfence. Voici Think Like a Hacker, le podcast hebdomadaire sur WordPress, la sécurité et l’innovation. Passons directement aux histoires de cette semaine.

Notre première histoire concerne une vulnérabilité découverte par notre équipe de renseignement sur les menaces avec le plugin wpDiscuz. Le plugin wpDiscuz est conçu pour permettre aux propriétaires de sites WordPress d’ajouter facilement des expériences de commentaires uniques à leur site. Ce plugin populaire, qui est installé sur plus de 80 000 sites, avait une vulnérabilité ajoutée à une mise à jour récente qui permettait aux utilisateurs non authentifiés de télécharger des fichiers arbitraires. La mise à jour était destinée à ajouter des téléchargements d’images pour les commentateurs, mais elle a introduit une vulnérabilité en permettant à quiconque de télécharger des fichiers, y compris des fichiers PHP. Après avoir contacté l’équipe wpDiscuz, la vulnérabilité a ensuite été corrigée dans la dernière version, qui a été publiée le 23 juillet.

Il s’agit maintenant d’une vulnérabilité critique qui peut conduire à une reprise de site. Assurez-vous donc que si vous utilisez ce plugin, vous mettez à jour vers la dernière version. Heureusement, si vous avez installé Wordfence, gratuit ou premium, vous êtes déjà protégé contre ce type de vulnérabilité. Maintenant, cela fait également apparaître une fonctionnalité Wordfence qui désactive l’exécution de code dans le répertoire des téléchargements. Donc, si vous n’avez pas besoin d’exécuter des fichiers dans votre répertoire de téléversement, vous voudrez probablement jeter un oeil à l’activation de cela dans Wordfence. Vous pouvez en savoir plus sur cette histoire sur le blog officiel de wordfence.com, et le lien sera dans les notes de l’émission. Chloe Chamberland, qui a découvert cette vulnérabilité, montrera comment cela pourrait être exploité lors des prochaines heures de bureau de Wordfence. Vous allez donc vouloir vérifier cela le 4 août, et nous le faisons à midi, heure de l’Est, en direct sur YouTube.

Ensuite, Waydev a signalé une faille de sécurité survenue plus tôt ce mois-ci. Lors de cette attaque, les jetons GitHub et GitLab OAuth ont été volés dans leur base de données interne, ce qui a entraîné l’exposition de la base de code stockée par de nombreuses entreprises dans les référentiels GitHub. Waydev est une plateforme d’analyse utilisée par les éditeurs de logiciels. Les pirates informatiques ont obtenu l’accès en utilisant une vulnérabilité d’injection SQL aveugle, et Waydev a pu corriger la vulnérabilité le jour même de son exploitation, mais pas avant que des sociétés telles que dave.com, flood.io et d’autres aient déjà été exposées. Les analystes de sécurité de GitHub ont donc découvert cette faille après qu’un client les ait contactés.

Waydev a été très transparent dans les jours qui ont suivi cette violation et a publié des adresses IP, des adresses e-mail et des chaînes d’agent utilisateur afin de donner aux clients une indication de compromis afin de déterminer si un attaquant potentiel a violé leurs référentiels. Heureusement, seule une petite partie de leur base de données d’utilisateurs a été consultée. Cependant, les pirates ont utilisé ces jetons pour accéder aux bases de code d’autres entreprises et ont pu voir leurs projets de code source.

Dave.com faisait partie d’une violation de données majeure où 7,5 millions d’enregistrements d’utilisateurs ont été divulgués par un seul pirate informatique connu sous le nom de ShinyHunters. La violation concernait un total de 18 sites différents, où un total de 386 millions d’informations sur les utilisateurs ont été vendues aux enchères avant d’être publiées gratuitement sur un forum de pirates. Waydev a publié une liste de mesures que ses utilisateurs devraient suivre pour garantir la sécurité de leurs informations. La première consiste à rechercher une activité suspecte dans vos comptes GitHub et GitLab, puis à parcourir votre base de code et à modifier les mots de passe et les clés. Ils recommandent également d’activer un pare-feu Web WAF. Nous avons des liens vers les articles complets sur ces intrusions dans les notes de l’émission sur wordfence.com/podcast. Si vous utilisez un type d’outil qui a accès à votre code, n’oubliez pas que donner accès ne doit pas être fait à la légère. N’oubliez donc pas que vous êtes à la merci de leur sécurité lorsque vous accordez l’accès. Certainement quelque chose à considérer, et c’est toujours un bon point d’auditer sporadiquement votre sécurité OAuth.

WP Tavern a publié un article récent sur les avis d’administration des plugins et sur le point de savoir si les auteurs des plugins ou l’absence de système de notification dans WordPress sont à blâmer pour la disposition actuelle des notifications. Nous avons tous vu cela. Si vous êtes administrateur sur un site WordPress et que les avis peuvent s’empiler et prendre beaucoup de biens immobiliers assez rapidement. Il a été soutenu que rejeter la responsabilité sur les auteurs de plugins n’est pas particulièrement juste. Le co-créateur de WordPress et PDG d’Automattic, Matt Mullenweg, a déclaré: «Je ne pense pas qu’un centre de notification soit la solution à ce problème. Cela peut être utile pour d’autres raisons, mais pas pour celle-là. » Désormais, les auteurs de plugins ne sont pas totalement exempts de reproches et sont connus pour utiliser des avis d’administration pour des éléments inutiles, tels que des annonces de vacances ou demander à leurs utilisateurs des avis cinq étoiles. Il n’y a actuellement aucune solution dans WordPress Core pour le problème de la fatigue des avis de l’administrateur, et pourtant, résoudre le problème ne peut vraiment être fait que dans WordPress Core.

L’article sur WP Tavern a quelques réflexions sur la façon dont cela pourrait être résolu, mais il faudra un certain temps avant qu’un équilibre entre les avis importants nécessitant l’attention du propriétaire du site et une surabondance de ces rappels embêtants ne soit réellement trouvé, et même dans ce cas, il est probable pour ne pas satisfaire tout le monde. Nous aimerions également connaître votre avis sur ces avis d’administration et les fatigues de l’avis d’administrateur. Allez-y et déposez un commentaire sur le podcast ici et dites-nous ce que vous en pensez.

Tout récemment, l’équipe de la communauté WordPress a officiellement annoncé que les camps de mots ne seront en ligne que pour le reste de 2020. Ce n’est pas une énorme surprise, car les camps programmés restants étaient déjà prêts à être virtuels. Wordfence est également devenu virtuel pour rester en contact et parler de sécurité avec le flux hebdomadaire en direct des heures de bureau de Wordfence, où nous vous aidons à tirer le meilleur parti de Wordfence et à améliorer vos connaissances en matière de sécurité. Vous pouvez nous consulter en direct sur YouTube les mardis à midi, heure de l’Est. Si vous l’avez manqué la semaine dernière, nous vous avons montré comment effectuer un audit de sécurité sur votre propre site WordPress. Un audit de sécurité est toujours une bonne chose à considérer et à réaliser afin de détecter les problèmes potentiels sur votre site avant qu’un attaquant ne le fasse. La semaine prochaine, nous allons donc nous plonger dans l’exploitation de plug-ins vulnérables, et si vous ne pouvez pas y arriver, ce n’est pas grave car tous nos épisodes des heures de bureau sont disponibles pour regarder sur notre chaîne YouTube.

Notre dernière histoire de la journée concerne l’attaque majeure de ransomware contre Garmin. L’attaque a laissé leurs systèmes de suivi de la condition physique et de navigation des pilotes hors ligne et a pris près d’une semaine pour tout remettre en place. Garmin a publié un bref communiqué de presse sur son site qui assure aux clients qu’il n’y a aucune indication que les données des clients ont été consultées, perdues ou volées. Le ransomware connu sous le nom de Wasted Locker était exploité par un groupe connu sous le nom d’Evil Corp, un groupe de piratage criminel russe. FlyGarmin et GarminPilot ont tous deux été touchés, obligeant un avion à s’immobiliser.

Une autre préoccupation majeure est que les données de fitness peuvent essentiellement être considérées comme des informations personnellement identifiables et utilisées pour identifier quelqu’un. Le suivi de la condition physique garde par inadvertance une trace de l’endroit où votre activité de fitness a lieu, ce qui peut être utilisé pour déterminer où vous vivez. Toute entreprise comme Garmin qui suit les mouvements et est également si vulnérable à une intrusion majeure comme celle-ci est alarmante, étant donné l’immense gamme de produits sur laquelle les gens comptent. Nous avons des liens vers un article sur le hack Garmin et les notes de l’émission. Alors jetez-y un coup d’œil car cela vous donne quelques éléments à considérer.

Nous espérons que vous avez apprécié cet épisode, alors connectez-vous la semaine prochaine pour recevoir votre dose hebdomadaire de nouvelles sur la sécurité et assurez-vous de nous suivre sur les réseaux sociaux. Nous utilisons Wordfence sur Twitter, Facebook, Instagram, et vous pouvez également faire une recherche pour nous trouver sur YouTube, où nous avons des heures de bureau chaque semaine le mardi à midi, heure de l’Est, 9 heures du Pacifique. Merci encore d’avoir écouté et nous vous revoyons la semaine prochaine sur Think Like a Hacker.

Merci de nous donner un avis ou de nous donner un avis sur Podcasts Apple.

Abonnez-vous également au site officiel Chaîne YouTube Wordfence où nous hébergeons les heures de bureau de Wordfence les mardis et publions d’importantes vidéos de preuve de concept.



Source link

%d blogueurs aiment cette page :