Les pirates exploitent activement une vulnérabilité récemment corrigée dans le plugin WordPress Advanced Custom Fields environ 24 heures après la publication d’un exploit de preuve de concept (PoC).
La vulnérabilité en question est CVE-2023-30777, une faille XSS (cross-site scripting) de haute gravité qui permet à des attaquants non authentifiés de voler des informations sensibles et d’élever leurs privilèges sur les sites WordPress impactés.
La faille a été découverte par la société de sécurité de sites Web Patchstack le 2 mai 2023 et a été divulguée avec un exploit de preuve de concept le 5 mai, un jour après que le fournisseur du plugin a publié une mise à jour de sécurité avec la version 6.1.6.
Comme l’a signalé hier le Security Intelligence Group (SIG) d’Akamai, à partir du 6 mai 2023, il a observé une importante activité d’analyse et d’exploitation à l’aide de l’exemple de code fourni dans la description de Patchstack.
« L’Akamai SIG a analysé les données d’attaque XSS et identifié les attaques commençant dans les 24 heures suivant la publication de l’exploit PoC », lit-on dans le rapport.
« Ce qui est particulièrement intéressant à ce sujet, c’est la requête elle-même : l’auteur de la menace a copié et utilisé l’exemple de code Patchstack de la rédaction. »
Considérant que plus de 1,4 million de sites Web utilisant le plugin WordPress impacté n’ont pas été mis à niveau vers la dernière version, selon les statistiques de wordpress.org, les attaquants ont une surface d’attaque assez large à explorer.
La faille XSS nécessite l’implication d’un utilisateur connecté qui a accès au plugin pour exécuter un code malveillant sur son navigateur qui donnera aux attaquants un accès privilégié au site.
Les analyses malveillantes indiquent que ce facteur d’atténuation ne décourage pas les acteurs de la menace qui croient qu’ils peuvent le surmonter grâce à la ruse de base et à l’ingénierie sociale.
En outre, l’exploit fonctionne sur les configurations par défaut des versions de plug-in concernées, ce qui augmente les chances de succès des acteurs de la menace sans nécessiter d’effort supplémentaire.
Les administrateurs de sites WordPress utilisant les plugins vulnérables sont invités à appliquer immédiatement le correctif disponible pour se protéger des activités d’analyse et d’exploitation en cours.
L’action recommandée consiste à mettre à niveau les plug-ins gratuits et professionnels « Advanced Custom Fields » vers les versions 5.12.6 (rétroportées) et 6.1.6.