Une vulnérabilité jusque-là inconnue dans une extension populaire pour WordPress est exploitée activement par des pirates. En tout, plus de 280.000 gestionnaires de contenus WordPress sont concernés.
Souple, facile à utiliser et à déployer pour créer et animer un site Web, WordPress est certainement le système de gestion de contenus le plus populaire au monde. Et comme toujours en informatique, ce qui est le plus plébiscité est forcément ciblé par les cybercriminels. Depuis au moins un mois, ce sont plus de 280.000 sites qui utilisent WordPress qui sont vulnérables à une cyberattaque d’ampleur. Pour pirater le service, les hackers ont pu dénicher une faille zero-day dans l’un composant de WordPress. C’est précisément le plug-in WPGateway qui a été ciblé. Ce composant permet aux administrateurs de sites de gérer à partir d’un même tableau de bord les autres extensions, les thèmes, les sauvegardes, par exemple. Avec cette vulnérabilité inconnue jusqu’à maintenant, les attaquants peuvent s’ajouter en tant que compte administrateur et prendre la main sur le gestionnaire de contenus et donc les sites.
Deux symptômes pour identifier le mal
Cette faille a été enregistrée sous la référence CVE-2022-3180 par la société de cybersécurité Wordfence Threat IntelligenceIntelligence. Ses experts ont expliqué qu’ils ont pu bloquer plus de 4,6 millions d’attaques reposant sur cette vulnérabilité. Ils ont constaté que plus de 280.000 sites ont été pris pour cible lors des 30 derniers jours.
Pour vérifier si WordPress a été compromis, il faut chercher la présence d’un compte administrateur portant le nom de rangex. Pour aller plus loin et savoir si la faille est potentiellement exploitée, il est nécessaire de chercher dans les logs la présence de la requêterequête « /wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 ». Pour le moment, il n’existe pas de correctif, c’est pourquoi il est préférable de désactiver l’extension WPGateway en attendant. Cette mauvaise nouvelle intervient alors qu’il y a une semaine une autre faille zero-dayzero-day avait été découverte dans un plugin WordPress appelé BackupBuddy.