Une vulnérabilité critique de contournement d’authentification a été découverte affectant le plugin WordPress » Really Simple Security « (anciennement « Really Simple SSL »), y compris les versions gratuite et Pro.
Really Simple Security est un plugin de sécurité pour la plate-forme WordPress, offrant une configuration SSL, une protection de connexion, une couche d’authentification à deux facteurs et une détection des vulnérabilités en temps réel. Sa version gratuite à elle seule est utilisée dans plus de quatre millions de sites Web.
Wordfence, qui a divulgué publiquement la faille, l’appelle l’une des vulnérabilités les plus graves signalées au cours de ses 12 ans d’histoire, avertissant qu’elle permet aux attaquants distants d’obtenir un accès administratif complet aux sites concernés.
Pour aggraver les choses, la faille peut être exploitée en masse à l’aide de scripts automatisés, conduisant potentiellement à des campagnes de prise de contrôle de sites Web à grande échelle.
Tel est le risque que Wordfence propose aux hébergeurs de forcer la mise à jour du plugin sur les sites clients et d’analyser leurs bases de données pour s’assurer que personne n’exécute une version vulnérable.
2FA conduisant à une sécurité plus faible
La faille de gravité critique en question est CVE-2024-10924, découverte par le chercheur de Wordfence István Márton le 6 novembre 2024.
Cela est dû à une mauvaise gestion de l’authentification des utilisateurs dans les actions de l’API REST à deux facteurs du plugin, permettant un accès non autorisé à n’importe quel compte d’utilisateur, y compris les administrateurs.
Plus précisément, le problème réside dans la fonction’ check_login_and_get_user () ‘qui vérifie les identités des utilisateurs en vérifiant les paramètres ‘user_id’ et ‘login_nonce’.
Lorsque ‘login_nonce’ n’est pas valide, la requête n’est pas rejetée, comme elle le devrait, mais appelle à la place ‘authenticate_and_redirect ()’, qui authentifie l’utilisateur en se basant uniquement sur ‘user_id’, permettant ainsi de contourner l’authentification.
La faille est exploitable lorsque l’authentification à deux facteurs (2FA) est activée, et même si elle est désactivée par défaut, de nombreux administrateurs l’autoriseront pour une sécurité de compte renforcée.
CVE-2024-10924 affecte les versions de plug-in à partir de 9.0.0 et jusqu’à 9.1.1.1 des versions « gratuite », « Pro » et « Pro Multisite ».
Le développeur a corrigé la faille en s’assurant que le code gère désormais correctement l’échec de la vérification’ login_nonce’, en quittant immédiatement la fonction ‘check_login_and_get_user ()’.
Les correctifs ont été appliqués à la version 9.1.2 du plugin, publiée le 12 novembre pour la version Pro et le 14 novembre pour les utilisateurs gratuits.
Le fournisseur a coordonné avec WordPress.org pour effectuer des mises à jour de sécurité forcées sur les utilisateurs du plugin, mais les administrateurs du site Web doivent toujours vérifier et s’assurer qu’ils exécutent la dernière version (9.1.2).
Les utilisateurs de la version Pro ont leurs mises à jour automatiques désactivées à l’expiration de la licence, ils doivent donc mettre à jour manuellement la version 9.1.2.
Depuis hier, le WordPress.org le site de statistiques, qui surveille les installations de la version gratuite du plugin, a montré environ 450 000 téléchargements, laissant 3 500 000 sites potentiellement exposés à la faille.