Le 23 mars 2021, l’équipe Wordfence Threat Intelligence a découvert deux vulnérabilités récemment corrigées et activement exploitées dans Thèmes Thrive Thèmes «hérités» et plugins Thème Thrive qui ont été enchaînés pour permettre à des attaquants non authentifiés de télécharger des fichiers arbitraires sur des sites WordPress vulnérables. Nous estimons que plus de 100 000 sites WordPress utilisent des produits Thrive Theme qui peuvent encore être vulnérables.

Des correctifs ont été publiés le 12 mars 2021 pour les thèmes et plugins vulnérables. Nous constatons que ces vulnérabilités sont activement exploitées dans la nature, et nous exhortons les utilisateurs à mettre à jour les dernières versions disponibles immédiatement car elles contiennent un correctif pour ces vulnérabilités.

Nous vous recommandons vivement de mettre à jour si vous exécutez l’une des versions suivantes:

  • Tous les thèmes hérités, y compris Rise, Ignition et autres | Version <2.0.0
  • Thrive Optimiser | Version <1.4.13.3
  • Commentaires Thrive | Version <1.4.15.3
  • Thrive Headline Optimizer | Version <1.3.7.3
  • Thrive Themes Builder | Version <2.2.4
  • Version Thrive Leads | <2.3.9.4
  • Thrive Ultimatum Version | <2.3.9.4
  • Version Thrive Quiz Builder | <2.3.9.4
  • Apprenti prospère | Version <2.3.9.4
  • Thrive Architect | Version <2.6.7.4
  • Tableau de bord Thrive | Version <2.3.9.3

Les clients de Wordfence Premium ont reçu deux règles le 23 mars 2021 pour se protéger contre l’exploitation active de cette vulnérabilité. Les utilisateurs de Wordfence utilisant toujours la version gratuite bénéficieront de la même protection le 22 avril 2021.

Description: Mise à jour des options non authentifiées
Thèmes des plugins: Tous les plugins de thème Thrive
Plugin Slugs: prospérer-optimiser, prospérer-commentaires, prospérer-titre, prospérer-éditeur visuel, prospérer-mener, prospérer-ultimatum, prospérer-quiz-constructeur, prospérer-apprenti, prospérer-architecte, prospérer-tableau de bord
Versions affectées:
ID CVE: En attente.
Score CVSS: 5,8 (moyen)
Vecteur CVSS: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
Version entièrement corrigée: Divers [please see above for patched versions]

Thrive Themes propose une variété de produits conçus pour améliorer le processus de création de site. L’une des fonctionnalités offertes par ces produits dans Thrive Dashboard est la possibilité de s’intégrer à Zapier. Malheureusement, cette fonctionnalité n’a pas été mise en œuvre de manière sécurisée.

Les produits Thrive Themes enregistrent un point de terminaison d’API REST associé à la fonctionnalité Zapier. Alors que ce point de terminaison était censé nécessiter une clé API pour y accéder, il était possible d’y accéder en fournissant un api_key paramètre dans les versions vulnérables si Zapier n’était pas activé. Les attaquants pourraient utiliser ce point de terminaison pour ajouter des données arbitraires à une option prédéfinie dans le wp_options table.

Description: Téléchargement de fichiers arbitraires non authentifiés et suppression d’options
Thèmes concernés: Tous les thèmes Thrive Thèmes hérités
Thème Slugs: montée, allumage, luxe, focusblog, moins, carré, voix, performag, pressif, légendaire
Versions concernées:
ID CVE: En attente.
Score CVSS: 10,0 (critique)
Vecteur CVSS: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
Version entièrement corrigée: 2.0.0

Thèmes Thrive Les thèmes «hérités» offrent la possibilité de compresser automatiquement les images pendant tous les téléchargements. Malheureusement, cette fonctionnalité a également été implémentée de manière non sécurisée.

Les thèmes Thrive «hérités» enregistrent un point de terminaison d’API REST pour compresser les images à l’aide du moteur d’optimisation d’image Kraken. En fournissant une demande spécialement conçue en combinaison avec des données insérées à l’aide de la vulnérabilité Option Update, il était possible d’utiliser ce point de terminaison pour récupérer un code malveillant à partir d’une URL distante et écraser un fichier existant sur le site avec celui-ci ou créer un nouveau fichier. Fichiers PHP contenant du code malveillant.

Enchaîner les exploits ensemble

Nous avons vu des cas dans le passé où des attaquants enchaînaient deux exploits distincts afin d’accéder à un site et c’était le cas avec cet exploit.

Les attaquants utilisent la vulnérabilité de mise à jour d’option non authentifiée pour mettre à jour une option dans la base de données qui peut ensuite être utilisée par la vulnérabilité de téléchargement de fichier arbitraire non authentifié pour télécharger un fichier PHP malveillant. La combinaison de ces deux vulnérabilités permet aux attaquants d’accéder par porte dérobée à des sites vulnérables pour les compromettre davantage.

Indicateurs de compromis

Nos analystes de sécurité ont pu vérifier de manière médico-légale ce vecteur d’intrusion sur un site individuel. En outre, nous avons trouvé la charge utile ajoutée par cette attaque sur plus de 1900 sites, qui semblent tous avoir des points de terminaison d’API REST vulnérables. Nous mettrons à jour cette section au fur et à mesure que nous découvrirons de nouvelles informations.

Fichiers modifiés et malveillants

  • /signup.php – Nous voyons ce fichier dans la racine Web des sites compromis, et il semble être une porte dérobée utilisée pour infecter davantage les sites. Bien que nous voyions quelques variantes, la grande majorité d’entre elles ont un hachage MD5 de d8ef979fc3aac9dabb0883cb5be4b345
  • Un petit nombre de sites infectés ont également un client.php malveillant supplémentaire ou wp-includes/client.php fichier inclus d’une modification à wp-load.php. Sur certains sites, cela semble être utilisé pour injecter du spam. Les hachages MD5 suivants sont répandus sur ces sites:
    • 4f737679c8e660c4883b2d0bddc6cb77
    • 2004feca39133a7034893ce7ef6f6b25

Adresses IP incriminées

Fichiers journaux

Voici le contenu extrait d’un fichier journal d’un site compromis par cette chaîne de vulnérabilités. Il est facile d’observer l’attaque étape par étape tout en examinant ces fichiers journaux. Gardez un œil sur les entrées de journal similaires si votre site a été récemment compromis.

5.255.176.41 - - [09/Mar/2021:18:51:34 +0100] "GET /wp-json HTTP/1.1" 200 158979 "REDACTED" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"
5.255.176.41 - - [09/Mar/2021:18:51:35 +0100] "POST /wp-json/thrive/kraken HTTP/1.1" 200 - "REDACTED/wp-json" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"
5.255.176.41 - - [09/Mar/2021:18:51:36 +0100] "POST /wp-json/td/v1/optin/subscription HTTP/1.1" 200 25 "REDACTED/wp-json/thrive/kraken" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"
5.255.176.41 - - [09/Mar/2021:18:51:36 +0100] "POST /wp-json/thrive/kraken HTTP/1.1" 200 - "REDACTED/wp-json/td/v1/optin/subscription" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"
5.255.176.41 - - [09/Mar/2021:18:51:38 +0100] "GET /wp-links-opml.php HTTP/1.1" 200 11 "REDACTED/wp-json/thrive/kraken" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"
5.255.176.41 - - [09/Mar/2021:23:00:00 +0100] "POST /signup.php HTTP/1.1" 302 512 "REDACTED/signup.php;6668bb972609" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"
5.255.176.41 - - [09/Mar/2021:23:00:00 +0100] "GET /signup.php HTTP/1.1" 200 91521 "REDACTED/signup.php;6668bb972609" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"
5.255.176.41 - - [09/Mar/2021:23:00:00 +0100] "POST /signup.php HTTP/1.1" 200 11 "REDACTED/signup.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"
5.255.176.41 - - [10/Mar/2021:04:13:43 +0100] "POST /signup.php HTTP/1.1" 302 512 "REDACTED/signup.php;6668bb972609" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3538.77 Safari/537.36"

Chronologie de la réponse

23 mars 2021 13h03 UTC – Charles Sweethill, analyste de la sécurité de Wordfence, informe l’équipe Threat Intelligence des preuves indiquant la possibilité qu’une vulnérabilité critique dans Thrive Themes soit activement exploitée. Une enquête commence.
23 mars 2021 17h11 UTC – Nous découvrons l’un des points de terminaison d’API vulnérables.
23 mars 2021 17h38 UTC – Nous obtenons une copie vulnérable de l’un des thèmes Thrive et confirmons que le thrive_kraken_callback() La fonction est vulnérable à la création arbitraire de fichiers.
23 mars 2021 18h07 UTC – Nous découvrons le deuxième point de terminaison d’API vulnérable nécessaire pour exploiter le premier point de terminaison d’API.
23 mars 2021 18h36 UTC – Nous vérifions que le subscribe() est vulnérable aux changements d’options non authentifiés qui peuvent être utilisés pour exploiter la vulnérabilité dans le thrive_kraken_callback() fonction.
23 mars 2021 19h01 UTC – Nous créons une preuve de concept fonctionnelle et le développement des règles de pare-feu commence.
23 mars 2021 22h16 UTC – Le test de la première règle de pare-feu pour la modification des options non authentifiées est terminé et la règle est publiée pour les utilisateurs de Wordfence Premium.
23 mars 2021 22h26 UTC – Le test de la deuxième règle de pare-feu pour la vulnérabilité de téléchargement de fichier arbitraire non authentifié est terminé et la règle est publiée pour les utilisateurs de Wordfence Premium.
22 avril 2021 – Les utilisateurs gratuits de Wordfence bénéficient de la même protection.

Conclusion

Nous avons intentionnellement fourni un minimum de détails dans cet article dans le but de réduire l’exploitation au minimum tout en informant les propriétaires de sites WordPress utilisant les produits Thrive Theme concernés de cette campagne active. Nous publierons un post de suivi avec plus de détails une fois que l’exploitation active cessera.

Pour le moment, nous demandons instamment aux propriétaires de sites exécutant l’un des thèmes «hérités» de Thrive Themes de passer immédiatement à la version 2.0.0, et à tous les propriétaires de sites exécutant l’un des plug-ins Thrive de mettre à jour vers la dernière version disponible pour chacun des plugins respectifs.

Wordfence Premium les clients sont protégés des attaques contre cette vulnérabilité depuis le 23 mars 2021. Les sites exécutant la version gratuite de Wordfence recevront la mise à jour des règles de pare-feu le 22 avril 2021.

Notre équipe suit activement les attaques et nous produirons plus de détails dès que nous pensons qu’elle est responsable de le faire. Pour les mises à jour, veuillez envisager de vous abonner à notre newsletter, et pensez à partager ce message pour vous aider à faire prendre conscience de ce problème de sécurité.

Un merci spécial à Charles Sweethill, analyste de la sécurité de Wordfence, pour avoir identifié rapidement ces vulnérabilités lors d’un nettoyage de site, identifié les points de terminaison de l’API REST utilisés pour compromettre des sites vulnérables et pour ses contributions à cet article. Merci également à l’analyste des menaces de Wordfence Ramuel Gall pour son travail de rétro-ingénierie à la fois des vulnérabilités et des données d’attaque, en créant une preuve de concept fonctionnelle, en écrivant les règles de pare-feu pour protéger les clients de Wordfence et en contribuant à cet article. Cette recherche et la protection qui en résulte pour les clients Wordfence est vraiment un effort d’équipe.


Source link