Il a été constaté que le plugin de sécurité WordPress All-In-One Security (AIOS), utilisé par plus d’un million de sites WordPress, enregistrait les mots de passe en clair des tentatives de connexion des utilisateurs à la base de données du site, mettant en danger la sécurité des comptes.
AIOS est une solution tout-en-un développée par Updraft, offrant un pare-feu d’application Web, une protection de contenu et des outils de sécurité de connexion pour les sites WordPress, promettant d’arrêter les bots et de prévenir les attaques par force brute.
Il y a environ trois semaines, un utilisateur a signalé que le plug-in AIOS v5.1.9 enregistrait non seulement les tentatives de connexion des utilisateurs dans la table de base de données aiowps_audit_log, utilisée pour suivre les connexions, les déconnexions et les échecs de connexion, mais enregistrait également le mot de passe saisi.
L’utilisateur s’est dit préoccupé par le fait que cette activité enfreint plusieurs normes de conformité en matière de sécurité, notamment NIST 800-63 3, ISO 27000 et GDPR.
Cependant, l’agent de support d’Updraft a répondu en disant qu’il s’agissait d’un « bogue connu » et en promettant vaguement qu’un correctif serait disponible dans la prochaine version.
Après avoir réalisé la criticité du problème, le support a proposé il y a deux semaines des versions de développement de la prochaine version aux utilisateurs concernés. Pourtant, ceux qui tentaient d’installer les versions de développement ont signalé des problèmes de site Web et que les journaux de mots de passe n’avaient pas été supprimés.
Correctif maintenant disponible
Finalement, le 11 juillet, le fournisseur AIOS a publié la version 5.2.0, qui inclut un correctif pour empêcher l’enregistrement des mots de passe en clair et efface les anciennes entrées.
« La version 5.2.0 d’AIOS et les mises à jour plus récentes ont corrigé un bogue dans la version 5.1.9 qui entraînait l’ajout des mots de passe des utilisateurs à la base de données WordPress en texte brut », lit-on dans l’annonce de la version.
« Ce serait un problème si les administrateurs de sites [malveillants] essayaient ces mots de passe sur d’autres services où vos utilisateurs auraient pu utiliser le même mot de passe. »
Si les informations de connexion des personnes exposées ne sont pas protégées par une authentification à deux facteurs sur ces autres plates-formes, des administrateurs malveillants pourraient facilement prendre le contrôle de leurs comptes.
Outre le scénario d’administration malveillante, les sites Web utilisant AIOS seraient confrontés à un risque élevé de piratage, car un mauvais acteur accédant à la base de données du site pourrait exfiltrer les mots de passe des utilisateurs sous forme de texte en clair.
Au moment de la rédaction, les statistiques de WordPress.org montrent qu’environ un quart des utilisateurs d’AIOS ont appliqué la mise à jour vers 5.2.0, donc plus de 750 000 sites restent vulnérables.
Malheureusement, avec WordPress une cible commune pour les acteurs de la menace, il est possible que certains des sites utilisant AIOS aient déjà été compromis, et étant donné que le problème circule en ligne depuis trois semaines maintenant, les pirates ont eu de nombreuses occasions de profiter de la réponse lente du créateur du plugin.
De plus, il est regrettable qu’à aucun moment de la période d’exposition, Updraft n’ait averti ses utilisateurs du risque élevé d’exposition, les conseillant sur les mesures à prendre.
Les sites Web utilisant AIOS doivent maintenant être mis à jour vers la dernière version et demander aux utilisateurs de réinitialiser leurs mots de passe.