Aujourd’hui, le 13 octobre 2023, l’équipe Wordfence Threat Intelligence a pris connaissance d’une vulnérabilité récemment corrigée dans Royal Elementor Addons and Templates, un plugin WordPress installé sur plus de 200 000 sites, qui permet à des attaquants non authentifiés de télécharger des fichiers arbitraires sur sites vulnérables.
Cela permet à des attaquants non authentifiés de télécharger des fichiers PHP contenant du contenu malveillant, tel qu’une porte dérobée, qui rend possible l’exécution de code à distance et conduit à une compromission complète du site. Nous avons bloqué plus de 46 169 attaques ciblant cette vulnérabilité au cours des 30 derniers jours, et l’examen de nos données a révélé que les attaques ont commencé vers le 30 août 2023, bien que nous ayons également la preuve que l’exploit était activement développé dès le 27 juillet 2023. .
Tous les utilisateurs de Wordfence en cours d’exécution Prime, Se soucierou Réponse, ainsi que ceux qui exécutent toujours la version gratuite du plugin Wordfence, sont protégés par la protection intégrée contre le téléchargement de fichiers malveillants du pare-feu Wordfence. Cependant, nous encourageons toujours fortement les utilisateurs à s’assurer que leurs sites sont mis à jour avec la dernière version corrigée du plugin, à savoir la 1.3.79, car cette vulnérabilité est activement exploitée.
Cette vulnérabilité a été découverte à l’origine par Fioravante Souza de WPScan, et vous pouvez trouver toutes les références applicables dans le Base de données de renseignement Wordfence.
Le plugin Royal Elementor Addons and Templates pour WordPress est vulnérable aux téléchargements de fichiers arbitraires dans toutes les versions jusqu’à la 1.3.78 incluse. Cela est dû à une validation insuffisante du type de fichier dans le handle_file_upload() fonction appelée via AJAX qui permet aux attaquants de fournir une extension de type de fichier préférée au ‘allowed_file_types‘, avec un caractère spécial, qui permet au fichier téléchargé de contourner leur liste de filtres. Cela permet à des attaquants non authentifiés de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l’exécution de code à distance.
En raison du fait que cette vulnérabilité est activement exploitée, nous gardons limitées les informations sur les spécifications techniques de cette vulnérabilité.
Indicateurs de compromis
Notre premier indicateur indiquant que cette vulnérabilité était ciblée remonte au 30 août, bien avant que la vulnérabilité ne soit corrigée. Cependant, nous ne voyons que quelques attaques ici et là au début, les attaques commençant à s’intensifier plus tard, vers le 3 octobre 2023. Au cours des 30 derniers jours, nous avons bloqué plus de 46 169 attaques.
La majorité des attaques semblent provenir uniquement des trois adresses IP suivantes :
65.21.22.78avec 33 255 attaques bloquées.2a01:4f9:3080:4eea::2avec 12 289 attaques bloquées.135.181.181.50avec 206 attaques bloquées.
D’après nos données, il semble que des attaquants aient tenté de placer des fichiers nommés b1ack.p$hpqui a un hachage md5 de 1635f34d9c1da30ff5438e06d3ea6590 et peut être utilisé pour placer des fichiers PHP supplémentaires sur le site, ainsi que wp.ph$p qui a un hachage md5 de bac83f216eba23a865c591dbea427f22 et insère un administrateur malveillant. Le scanner Wordfence a détecté b1ack.p$hp depuis décembre 2019, et nous avons rédigé une signature pour détecter wp.ph$p qui sera publié dès qu’il aura passé notre processus d’assurance qualité.
b1ack.p$hp contient le code suivant :
wp.ph$p contient le code suivant :
Nous recommandons à tous les propriétaires de sites d’effectuer une analyse des logiciels malveillants à l’aide de CLI Wordfenceavec le jeu de signatures commerciales, ou le plugin Wordfence, si vous utilisez le plugin Royal Elementor Addons and Templates pour garantir que leur site n’a pas été compromis en raison de cette vulnérabilité.
Si vous pensez que votre site a été compromis en raison de cette vulnérabilité, nous proposons des services de réponse aux incidents via Entretien de la clôture des mots. Si vous avez besoin que votre site soit nettoyé immédiatement, Réponse de Wordfence propose le même service avec une disponibilité 24/7/365 et un temps de réponse d’1 heure. Ces deux produits incluent une assistance pratique au cas où vous auriez besoin d’une assistance supplémentaire.
Conclusion
Dans l’article d’aujourd’hui, nous avons détaillé les attaques contre une vulnérabilité critique de téléchargement de fichiers arbitraires non authentifiés dans le plugin Royal Elementor Addons and Templates pour WordPress qui a été corrigée, mais est activement exploitée. Cette vulnérabilité peut être exploitée pour télécharger un fichier PHP malveillant qui rendra possible l’exécution de code à distance sur le serveur.
Pour rappel, tous les utilisateurs de Wordfence exécutant Prime, Se soucierou Réponse, ainsi que ceux qui exécutent toujours la version gratuite du plugin Wordfence, sont protégés par la protection intégrée contre le téléchargement de fichiers malveillants du pare-feu Wordfence. Cependant, nous encourageons toujours fortement les utilisateurs à s’assurer que leurs sites sont mis à jour avec la dernière version corrigée du plugin, à savoir la 1.3.79, car cette vulnérabilité est activement exploitée.
Si vous connaissez quelqu’un qui utilise ce plugin, nous vous recommandons de partager cet avis avec lui pour garantir la sécurité de son site, car cette vulnérabilité présente un risque important.
Pour les chercheurs en sécurité cherchant à divulguer les vulnérabilités de manière responsable et à obtenir un identifiant CVE, vous pouvez soumettez vos conclusions à Wordfence Intelligence et potentiellement gagner une place sur notre classement.
Un merci spécial à Ramuel Gall, chercheur principal en sécurité de Wordfence, pour son aide dans la recherche de cette vulnérabilité, l’analyse des données d’attaque et la garantie à nos utilisateurs d’une protection et d’une couverture de détection adéquates.
Source link