Les pirates exploitent activement une vulnérabilité de haute gravité dans le populaire plugin Elementor Pro WordPress utilisé par plus de onze millions de sites Web.

Elementor Pro est un plugin de création de pages WordPress permettant aux utilisateurs de créer facilement des sites d’aspect professionnel sans savoir coder, avec glisser-déposer, création de thèmes, collection de modèles, prise en charge de widgets personnalisés et constructeur WooCommerce pour les boutiques en ligne.

Cette vulnérabilité a été découverte par le chercheur de NinTechNet, Jérôme Bruandet, le 18 mars 2023, qui a partagé cette semaine des détails techniques sur la façon dont le bogue peut être exploité lorsqu’il est installé aux côtés de WooCommerce.

Le problème, qui affecte la v3.11.6 et toutes les versions précédentes, permet aux utilisateurs authentifiés, comme les clients de la boutique ou les membres du site, de modifier les paramètres du site et même d’effectuer une prise de contrôle complète du site.

Le chercheur a expliqué que la faille concerne un contrôle d’accès cassé sur le module WooCommerce du plugin (« elementor-pro/modules/woocommerce/module.php »), permettant à quiconque de modifier les options WordPress dans la base de données sans validation appropriée.

La faille est exploitée via une action AJAX vulnérable, « pro_woocommerce_update_page_option », qui souffre d’une validation des entrées mal implémentée et d’un manque de vérification des capacités.

« Un attaquant authentifié peut tirer parti de la vulnérabilité pour créer un compte administrateur en activant l’enregistrement et en définissant le rôle par défaut sur « administrateur », en modifiant l’adresse e-mail de l’administrateur ou en redirigeant tout le trafic vers un site Web malveillant externe en modifiant siteurl parmi de nombreuses autres possibilités », a expliqué Bruandet dans un article technique sur le bogue.

Il est important de noter que pour que la faille particulière soit exploitée, le plugin WooCommerce doit également être installé sur le site, ce qui active le module vulnérable correspondant sur Elementor Pro.

Bug du plugin Elementor activement exploité
La société de sécurité WordPress PatchStack rapporte maintenant que les pirates exploitent activement cette vulnérabilité du plug-in Elementor Pro pour rediriger les visiteurs vers des domaines malveillants (« away[.]trackersline[.]com ») ou télécharger des portes dérobées sur le site piraté.

PatchStack indique que la porte dérobée téléchargée dans ces attaques est nommée wp-resortpark.zip, wp-rate.php ou lll.zip

Bien que peu de détails aient été fournis concernant ces portes dérobées, Breachtrace a trouvé un échantillon de l’archive lll.zip, qui contient un script PHP permettant à un attaquant distant de télécharger des fichiers supplémentaires sur le serveur compromis.

Cette porte dérobée permettrait à l’attaquant d’obtenir un accès complet au site WordPress, que ce soit pour voler des données ou installer un code malveillant supplémentaire.

PatchStack indique que la plupart des attaques ciblant les sites Web vulnérables proviennent des trois adresses IP suivantes, il est donc suggéré de les ajouter à une liste de blocage :

  • 193.169.194.63
  • 193.169.195.64
  • 194.135.30.6

Si votre site utilise Elementor Pro, il est impératif de passer à la version 3.11.7 ou ultérieure (la dernière disponible est la 3.12.0) dès que possible, car les pirates ciblent déjà les sites Web vulnérables.

La semaine dernière, WordPress a mis à jour de force le plugin WooCommerce Payments pour les magasins en ligne afin de résoudre une vulnérabilité critique qui permettait à des attaquants non authentifiés d’obtenir un accès administrateur aux sites vulnérables.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *