Les pirates exploitent une vulnérabilité critique dans le plugin « Hunk Companion » pour installer et activer d’autres plugins avec des failles exploitables directement à partir du WordPress.org dépôt.
En installant des plugins obsolètes avec des vulnérabilités connues avec des exploits disponibles, les attaquants peuvent accéder à un grand nombre de failles qui conduisent à des failles d’exécution de code à distance (RCE), d’injection SQL, de script intersite (XSS) ou créer des comptes d’administrateur de porte dérobée.
L’activité a été découverte par WPScan, qui l’a signalée à Hunk Companion, avec une mise à jour de sécurité corrigeant la faille zero-day publiée hier.
Installation de plugins vulnérables
Hunk Companion est un plugin WordPress conçu pour compléter et améliorer les fonctionnalités des thèmes développés par ThemeHunk, un fournisseur de thèmes WordPress personnalisables, il s’agit donc plus d’un module complémentaire que d’un plugin autonome.
Selon WordPress.org statistiques, Hunk Companion est actuellement utilisé par plus de 10 000 sites WordPress, c’est donc un outil relativement spécialisé dans l’espace.
La vulnérabilité critique a été découverte par le chercheur Daniel Rodriguez de WPScan et est suivie sous le numéro CVE-2024-11972. La faille permet l’installation arbitraire de plugins au moyen de requêtes POST non authentifiées.
Le problème affecte toutes les versions de Hunk Companion avant la dernière version 1.9.0, publiée hier, qui a résolu le problème.
En enquêtant sur une infection de site WordPress, WPScan a découvert une exploitation active de CVE-2024-11972 pour installer une version vulnérable de WP Query Console.
Il s’agit d’un plugin obscur mis à jour pour la dernière fois il y a plus de 7 ans, que les pirates ont exploité pour exécuter du code PHP malveillant sur les sites ciblés, en tirant parti de la faille zero-day RCE CVE-2024-50498.
« Dans les infections que nous avons analysées, les attaquants utilisent le RCE pour écrire un compte-gouttes PHP dans le répertoire racine du site », explique WPScan.
« Ce compte-gouttes permet des téléchargements continus non authentifiés via des requêtes GET, permettant un accès par porte dérobée persistante au site. »
Il convient de noter que Hunk Companion a corrigé une faille similaire dans la version 1.8.5, qui était suivie sous CVE-2024-9707, mais apparemment, le correctif n’était pas adéquat et des moyens de le contourner existent.
Compte tenu de la gravité de la faille et de son statut d’exploitation active, il est recommandé aux utilisateurs de Hunk Companion de passer à la version 1.9.0 dès que possible.
Au moment de la rédaction de cet article, la dernière version a été téléchargée environ 1 800 fois, de sorte qu’au moins huit mille sites Web restent vulnérables à l’exploitation.