Les pirates recherchent désormais activement les versions vulnérables du plug-in Essential Addons for Elementor sur des milliers de sites Web WordPress lors d’analyses Internet massives, tentant d’exploiter une faille critique de réinitialisation du mot de passe du compte divulguée plus tôt dans le mois.
La faille de gravité critique est identifiée comme CVE-2023-32243 et affecte Essential Addons for Elementor versions 5.4.0 à 5.7.1, permettant aux attaquants non authentifiés de réinitialiser arbitrairement les mots de passe des comptes administrateur et de prendre le contrôle des sites Web.
La faille qui a touché plus d’un million de sites Web a été découverte par PatchStack le 8 mai 2023 et corrigée par le fournisseur le 11 mai, avec la sortie de la version 5.7.2 du plugin.
Échelle d’exploitation
Le 14 mai 2023, des chercheurs ont publié un exploit de preuve de concept (PoC) sur GitHub, rendant l’outil largement accessible aux attaquants.
À l’époque, un lecteur de Brachtrace et propriétaire de site Web a signalé que son site avait été touché par des pirates qui avaient réinitialisé le mot de passe administrateur en exploitant la faille. Pourtant, l’ampleur de l’exploitation était inconnue.
Un rapport Wordfence publié hier apporte plus de lumière, la société affirmant avoir observé des millions de tentatives de détection de la présence du plugin sur des sites Web et bloqué au moins 6 900 tentatives d’exploitation.
Le lendemain de la divulgation de la faille, WordFence a enregistré 5 000 000 analyses de sondage à la recherche du fichier ‘readme.txt’ du plugin, qui contient les informations de version du plugin, et détermine donc si un site est vulnérable.
« Bien qu’il existe des services qui sondent les données d’installation à des fins légitimes, nous pensons que ces données indiquent que les attaquants ont commencé à rechercher des sites vulnérables dès que la vulnérabilité a été révélée », commente Wordfence dans le rapport.
La plupart de ces demandes provenaient de seulement deux adresses IP, « 185.496.220.26 » et « 185.244.175.65 ».
En ce qui concerne les tentatives d’exploitation, l’adresse IP ‘78.128.60.112’ avait un volume considérable, en utilisant l’exploit PoC publié sur GitHub. D’autres adresses IP attaquantes de haut rang comptent entre 100 et 500 tentatives.
Les propriétaires de sites Web utilisant le plug-in « Essential Addons for Elementor » sont invités à appliquer la mise à jour de sécurité disponible en installant immédiatement la version 5.7.2 ou ultérieure.
« Compte tenu de la facilité avec laquelle cette vulnérabilité peut être exploitée avec succès, nous recommandons vivement à tous les utilisateurs de mettre à jour le plugin dès que possible pour s’assurer que leur site n’est pas compromis par cette vulnérabilité », conseille Wordfence.
De plus, les administrateurs de sites Web doivent utiliser les indicateurs de compromission répertoriés dans le rapport de Wordfence et ajouter les adresses IP incriminées à une liste de blocage pour arrêter ces attaques et les futures.
Les utilisateurs du package de sécurité gratuit de Wordfence seront couverts par une protection contre CVE-2023-32243 le 20 juin 2023, ils sont donc également exposés actuellement.