WordPress-1

Les attaques en cours ciblent une vulnérabilité XSS (Unauthenticated Stored Cross-Site Scripting) dans un plugin de consentement aux cookies WordPress nommé Beautiful Cookie Consent Banner avec plus de 40 000 installations actives.

Dans les attaques XSS, les pirates injectent des scripts JavaScript malveillants dans des sites Web vulnérables qui s’exécuteront dans les navigateurs Web des visiteurs.

L’impact peut inclure un accès non autorisé à des informations sensibles, un détournement de session, des infections par des logiciels malveillants via des redirections vers des sites Web malveillants ou une compromission complète du système de la cible.

La société de sécurité WordPress Defiant, qui a repéré les attaques, affirme que la vulnérabilité en question permet également à des attaquants non authentifiés de créer des comptes d’administrateur escrocs sur des sites Web WordPress exécutant des versions de plug-in non corrigées (jusqu’à 2.10.1 inclus).

La faille de sécurité exploitée dans cette campagne a été corrigée en janvier avec la sortie de la version 2.10.2.

« Selon nos archives, la vulnérabilité a été activement attaquée depuis le 5 février 2023, mais il s’agit de la plus grande attaque contre elle que nous ayons vue », a déclaré l’analyste des menaces Ram Gall.

« Nous avons bloqué près de 3 millions d’attaques contre plus de 1,5 million de sites, à partir de près de 14 000 adresses IP depuis le 23 mai 2023, et les attaques se poursuivent. »

Malgré la nature à grande échelle de cette campagne d’attaque en cours, Gall affirme que l’acteur de la menace utilise un exploit mal configuré qui ne déploierait probablement pas de charge utile même lorsqu’il cible un site WordPress exécutant une version de plugin vulnérable.

Même ainsi, il est conseillé aux administrateurs ou propriétaires de sites Web utilisant le plugin Beautiful Cookie Consent Banner de le mettre à jour vers la dernière version car même une attaque ratée pourrait corrompre la configuration du plugin stockée dans l’option nsc_bar_bannersettings_json.

Les versions corrigées du plugin ont également été mises à jour pour se réparer au cas où le site Web serait ciblé par ces attaques.

Alors que la vague d’attaques actuelle pourrait ne pas être en mesure d’injecter des sites Web avec une charge utile malveillante, l’acteur de la menace derrière cette campagne pourrait résoudre ce problème à tout moment et potentiellement infecter tous les sites qui restent exposés.

La semaine dernière, les acteurs de la menace ont également commencé à sonder Internet à la recherche de sites Web WordPress exécutant des versions vulnérables des plugins Essential Addons for Elementor et WordPress Advanced Custom Fields.

Les campagnes ont commencé après la publication d’exploits de preuve de concept (PoC), permettant à des attaquants non authentifiés de détourner des sites Web après avoir réinitialisé les mots de passe administrateur et obtenu un accès privilégié, respectivement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *