Une vulnérabilité critique a été découverte dans un plugin de sécurité WordPress populaire avec plus de 4 millions d'installations. La faille permet aux attaquants de se connecter sous le nom de n'importe quel utilisateur, y compris les administrateurs, et d'obtenir un accès complet à leurs autorisations au niveau du site. Attribué à un score de menace de 9,8 sur 10, il souligne la facilité d'exploitation et le potentiel de compromission complète du site, y compris l'injection de logiciels malveillants, les modifications de contenu non autorisées et les attaques contre les visiteurs du site.
Sécurité vraiment simple
Really Simple Security est un plugin WordPress qui a été développé pour améliorer la résistance des sites WordPress contre les exploits (appelé renforcement de la sécurité), permettre l'authentification à deux facteurs, détecter les vulnérabilités et générer également un certificat SSL. L'une des raisons pour lesquelles il se présente comme léger est qu'il est conçu comme un logiciel modulaire qui permet aux utilisateurs de choisir les améliorations de sécurité à activer afin que (en théorie) les processus pour les fonctionnalités désactivées ne chargent pas et ne ralentissent pas le site Web. Il s'agit d'une tendance populaire dans les plugins WordPress qui permet à un logiciel de faire beaucoup de choses mais uniquement d'effectuer les tâches dont un utilisateur a besoin.
Le plugin est promu via les avis des affiliés et, selon Google AI Overview, bénéficie de critiques très positives. Plus de 97 % des avis sur le référentiel WordPress officiel sont notés cinq étoiles, la note la plus élevée possible, avec moins de 1 % attribuant au plugin 1 étoile.
Qu'est-ce qui n'a pas fonctionné ?
Une faille de sécurité dans le plugin le rend vulnérable au contournement d’authentification, qui permet à un attaquant d’accéder à des zones d’un site Web nécessitant un nom d’utilisateur et un mot de passe sans avoir à fournir d’informations d’identification. La vulnérabilité propre à Really Simple Security permet à un attaquant d'acquérir l'accès de tout utilisateur enregistré du site Web, y compris l'administrateur, simplement en connaissant le nom d'utilisateur.
C'est ce qu'on appelle une vulnérabilité d'accès non authentifié, l'un des types de failles les plus graves car elle est généralement plus facile à exploiter qu'une faille « authentifiée » qui nécessite qu'un attaquant obtienne d'abord le nom d'utilisateur et le mot de passe d'un utilisateur enregistré.
Wordfence explique la raison exacte de la vulnérabilité :
« Les plugins Really Simple Security (Free, Pro et Pro Multisite) pour WordPress sont vulnérables au contournement de l'authentification dans les versions 9.0.0 à 9.1.1.1. Cela est dû à une gestion incorrecte des erreurs de vérification de l'utilisateur dans les actions de l'API REST à deux facteurs avec la fonction « check_login_and_get_user ». Cela permet aux attaquants non authentifiés de se connecter en tant qu'utilisateur existant sur le site, tel qu'un administrateur, lorsque le paramètre « Authentification à deux facteurs » est activé (désactivé par défaut).
Wordfence a bloqué 310 attaques ciblant cette vulnérabilité au cours des dernières 24 heures.
Plan d'action recommandé :
Wordfence encourage les utilisateurs du plugin à mettre à jour vers Really Simple Security version 9.1.2 (ou version supérieure).
Le journal des modifications du plugin Really Simple Security annonce de manière responsable la raison de la mise à jour du logiciel :
« Journal des modifications
9.1.2
sécurité : contournement de l'authentification »
Lisez l'avis de sécurité de Wordfence :
Sécurité vraiment simple (Multisite gratuit, Pro et Pro) 9.0.0 – 9.1.1.1 – Contournement de l'authentification
Image en vedette par Shutterstock/Tithi Luadthong
