Les pirates exploitent activement deux vulnérabilités de gravité critique dans le thème et le plugin Houzez pour WordPress, deux modules complémentaires premium utilisés principalement dans les sites Web immobiliers.

Le thème Houzez est un plugin premium qui coûte 69 $, offrant une gestion facile des listes et une expérience client fluide. Le site du vendeur affirme servir plus de 35 000 clients dans le secteur de l’immobilier.

Les deux vulnérabilités ont été découvertes par le chercheur sur les menaces de Patchstack, Dave Jong, et signalées au fournisseur du thème, « ThemeForest », avec une faille corrigée dans la version 2.6.4 (août 2022) et l’autre dans la version 2.7.2 (novembre 2022).

Cependant, un nouveau rapport Patchstack avertit que certains sites Web n’ont pas appliqué la mise à jour de sécurité et que les acteurs de la menace exploitent activement ces anciennes failles dans les attaques en cours.

« La vulnérabilité du thème et du plugin est actuellement exploitée à l’état sauvage et a vu un grand nombre d’attaques à partir de l’adresse IP 103.167.93.138 au moment de la rédaction. »

Abusé pour prendre le contrôle de sites

La première faille Houzez est identifiée comme CVE-2023-26540 et a un indice de gravité de 9,8 sur 10,0 selon la norme CVSS v3.1, la catégorisant comme une vulnérabilité critique.

Il s’agit d’une mauvaise configuration de sécurité affectant le plug-in Houzez Theme version 2.7.1 et antérieure et peut être exploitée à distance sans nécessiter d’authentification pour effectuer une élévation de privilèges.

La version qui résout le problème est le thème Houzez 2.7.2 ou une version ultérieure.

La deuxième faille a reçu l’identifiant CVE-2023-26009, et elle est également classée critique (CVSS v3.1 : 9.8), impactant le plugin Houzes Login Register.

Cela affecte les versions 2.6.3 et antérieures, permettant aux attaquants non authentifiés d’effectuer une élévation de privilèges sur les sites utilisant le plugin.

La version qui traite la menace de sécurité est Houzez Login Register 2.6.4 ou version ultérieure.

Dave Jong a déclaré à Breachtrace que les acteurs de la menace exploitent ces vulnérabilités en envoyant une demande au point de terminaison qui écoute les demandes de création de compte.

En raison d’un bogue de contrôle de validation côté serveur, la demande peut être conçue pour créer un utilisateur administrateur sur le site, permettant aux attaquants de prendre le contrôle total du site WordPress.

Dans les attaques observées par Patchstack, les acteurs de la menace ont téléchargé une porte dérobée capable d’exécuter des commandes, d’injecter des publicités sur le site Web ou de rediriger le trafic vers d’autres sites malveillants.

« Étant donné que le rôle d’utilisateur souhaité peut être fourni par l’utilisateur, mais qu’il n’est pas validé correctement côté serveur, il peut être défini sur la valeur « administrateur » afin de créer un nouveau compte doté du rôle d’utilisateur administrateur », a déclaré un chercheur de PatchStack. D. Jong a déclaré à Breachtrace.

« Après cela, ils pourraient faire n’importe quoi avec le site qu’ils veulent bien que ce que nous voyons habituellement, c’est qu’un plugin malveillant sera téléchargé qui contient une porte dérobée.

Malheureusement, Patchstack rapporte que les défauts sont abusés lors de la rédaction de ceci, donc l’application des correctifs disponibles doit être traitée avec la plus haute priorité par les propriétaires de sites Web et les administrateurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *