Les pirates ont commencé à cibler une vulnérabilité de gravité critique dans le plugin WP Automatic pour WordPress afin de créer des comptes d’utilisateurs avec des privilèges administratifs et de planter des portes dérobées pour un accès à long terme.
Actuellement installé sur plus de 30 000 sites Web, WP Automatic permet aux administrateurs d’automatiser l’importation de contenu (par exemple, du texte, des images, des vidéos) à partir de diverses sources en ligne et la publication sur leur site WordPress.
La vulnérabilité exploitée est identifiée comme CVE-2024-27956 et a reçu un score de gravité de 9,9 / 10.
Il a été divulgué publiquement par des chercheurs du PatchStack vulnerability mitigation service le 13 mars et décrit comme un problème d’injection SQL qui affecte les versions WP Automatic antérieures à 3.9.2.0.
L’issues se trouve dans le mécanisme d’authentification de l’utilisateur du plugin, qui peut être contourné pour soumettre des requêtes SQL à la base de données du site. Les pirates peuvent utiliser des requêtes spécialement conçues pour créer des comptes d’administrateur sur le site Web cible.
Plus de 5,5 millions de tentatives d’attaque
Depuis que PatchStack a révélé le problème de sécurité, le WPScan d’Automattic a observé plus de 5,5 millions d’attaques essayant d’exploiter la vulnérabilité, la plupart d’entre elles étant enregistrées le 31 mars.
WPScan signale qu’après avoir obtenu un accès administrateur au site Web cible, les attaquants créent des portes dérobées et masquent le code pour le rendre plus difficile à trouver.
“Une fois qu’un site WordPress est compromis, les attaquants assurent la longévité de leur accès en créant des portes dérobées et en obscurcissant le code”, lit-on dans le rapport de WPScan.
Pour empêcher d’autres pirates de compromettre le site Web en exploitant le même problème et pour éviter d’être détectés, les pirates renomment également le fichier vulnérable “csv.php.”
Une fois qu’ils ont pris le contrôle du site Web, l’auteur de la menace installe souvent des plugins supplémentaires qui permettent de télécharger des fichiers et d’éditer du code.
WPScan fournit un ensemble d’indicateurs de compromission qui peuvent aider les administrateurs à déterminer si leur site Web a été piraté.
Les administrateurs peuvent rechercher des signes indiquant que des pirates Informatiques ont pris le contrôle du site Web en recherchant la présence d’un compte administrateur commençant par « xtw » et des fichiers nommés web.php et index.php, qui sont les portes dérobées plantées dans la récente campagne.
Pour atténuer le risque de violation, les chercheurs recommandent aux administrateurs de sites WordPress de mettre à jour le plugin WP Automatic vers la version 3.92.1 ou ultérieure.
WPScan recommande également aux propriétaires de sites Web de créer fréquemment des sauvegardes de leur site afin de pouvoir installer rapidement des copies propres en cas de compromission.