Aujourd’hui 18 février, notre équipe Threat Intelligence a été informée d’une vulnérabilité présente dans Addons ThemeREX, un plugin WordPress installé sur environ 44 000 sites. Cette faille permet aux attaquants d’exécuter du code à distance sur un site avec le plugin installé, y compris la possibilité d’exécuter du code qui peut injecter des comptes d’utilisateurs administratifs.

Au moment de la rédaction de ce document, cette vulnérabilité est activement exploitée, nous invitons donc les utilisateurs à supprimer temporairement le plug-in ThemeREX Addons si vous utilisez une version supérieure à 1.6.50 jusqu’à ce qu’un correctif soit publié.

Les clients Wordfence Premium ont reçu une nouvelle règle de pare-feu aujourd’hui 18 février 2020 à 15 h 16 UTC pour se protéger contre les exploits ciblant cette vulnérabilité. Les utilisateurs de Wordfence gratuits recevront la règle après trente jours le 19 mars 2020.

Point de terminaison REST-API non protégé et mal configuré

ThemeREX Addons est un plugin installé en tant que compagnon de nombreux thèmes ThemeREX et fournit un certain nombre de fonctionnalités de gestion de thème. L’une des fonctions du plugin enregistre un point de terminaison WordPress REST-API. Ce faisant, il ne vérifie pas qu’une demande provient d’un utilisateur administratif.

Bien que cela ne soit pas un sujet de préoccupation en soi, le point de terminaison permet à n’importe quelle fonction WordPress d’être exécutée, plutôt que d’être limitée à quelques fonctions sélectionnées. Cela signifie que le code à distance peut être exécuté par n’importe quel visiteur, même ceux qui ne sont pas authentifiés sur le site. La capacité la plus inquiétante que nous voyons activement attaquée est la possibilité de créer un nouvel utilisateur administratif, qui peut être utilisé pour une prise de contrôle complète du site.

Indicateurs de compromis

Nous avons actuellement très peu de données sur qui exploite cette vulnérabilité et quels artefacts sont laissés pour compte, cependant, nous savons que les attaques ciblent la création de comptes d’utilisateurs administratifs. Si vous exécutez le plugin ThemeREX Addons sur votre site et que vous découvrez un nouveau compte administratif suspect, il est très probable que votre site a été compromis en raison de cette vulnérabilité. Nous vous fournirons plus d’informations au fur et à mesure des détails.

Conclusion

Nous avons intentionnellement fourni un minimum de détails dans cet article dans le but de réduire au minimum l’exploitation tout en informant les propriétaires de sites WordPress de cette campagne active. Nous publierons un article de suivi avec plus de détails une fois que le développeur aura corrigé cette vulnérabilité.

Pour le moment, nous demandons instamment aux propriétaires de sites exécutant le plug-in ThemeREX Addons de le supprimer immédiatement de leurs sites. Sites en cours d’exécution Wordfence Premium sont protégés des attaques contre cette vulnérabilité depuis le 18 février 2020. Les sites exécutant la version gratuite de Wordfence recevront la mise à jour des règles de pare-feu le 19 mars 2020.


Source link

%d blogueurs aiment cette page :