Les scripts malveillants et les portes dérobées ciblent les failles critiques du plugin WordPress
Une nouvelle vague de cyberattaques exploite les vulnérabilités de trois plugins WordPress largement utilisés, injectant des scripts malveillants et des portes dérobées dans les sites Web, prévient Fastly. Ces failles critiques permettent aux attaquants d’exécuter des attaques XSS (cross-site scripting) non authentifiées, facilitant la création de comptes d’administrateur WordPress non autorisés, l’injection de portes dérobées PHP dans les fichiers de plugins et de thèmes, et la configuration de scripts de suivi pour surveiller les sites compromis.
Fastly a observé un nombre important de tentatives d'exploitation émanant d'IP liées à Autonomous System (AS) IP Volume Inc. Les plugins concernés incluent WP Statistics, WP Meta SEO et LiteSpeed Cache, affectant des millions d'installations actives.
Table des matières
Vulnérabilité WP Statistics : CVE-2024-2194
La première vulnérabilité concerne le plugin WP Statistics, qui compte plus de 600 000 installations actives. Traquée comme CVE-2024-2194, cette faille permet aux attaquants d'injecter des scripts via le paramètre de recherche d'URL. Divulgué en mars, il impacte les versions 14.5 et antérieures. Les scripts injectés s'exécutent chaque fois qu'un utilisateur accède à une page infectée, les attaquants ajoutant le paramètre « utm_id » aux requêtes pour garantir que la charge utile apparaît sur les pages les plus visitées.
Vulnérabilité WP Meta SEO : CVE-2023-6961
La deuxième vulnérabilité, CVE-2023-6961, affecte le plugin WP Meta SEO, avec plus de 20 000 installations actives. Ce bug permet aux attaquants d'injecter une charge utile dans des pages générant une réponse 404. Lorsqu'un administrateur charge une telle page, le script récupère le code JavaScript obscurci à partir d'un serveur distant. Si l'administrateur est authentifié, la charge utile peut voler ses informations d'identification.
Vulnérabilité du cache LiteSpeed : CVE-2023-40000
La troisième vulnérabilité, CVE-2023-40000, cible le plugin LiteSpeed Cache, qui compte plus de 5 millions d'installations actives. Les attaquants déguisent la charge utile XSS en notification d'administrateur, déclenchant le script lors de l'accès d'un administrateur à une page backend. Cela permet au script de s'exécuter en utilisant les informations d'identification de l'administrateur pour des actions malveillantes ultérieures.
L'enquête de Fastly a identifié cinq domaines référencés dans les charges utiles malveillantes, ainsi que deux domaines supplémentaires utilisés pour le suivi, dont au moins un a déjà été associé à l'exploitation de plugins WordPress vulnérables. Il est conseillé aux administrateurs de sites Web utilisant les plugins concernés de mettre immédiatement à jour les dernières versions et de surveiller leurs sites pour détecter toute activité suspecte.