Elementor sur WordPress : plus d’un million de sites infectés
Depuis quelques mois, je reçois des demandes d’aide sur des WordPress inaccessibles ou piratés, orientant les visiteurs vers des liens frauduleux : voici la réponse !
La vulnérabilité dans les addons essentiels pour Elementor conduit à une infection de masse
Le 11 mai 2023, le très populaire – mais abominable – plugin WordPress Essential Addons for Elementor a publié un correctif pour une vulnérabilité critique d’escalade de privilèges, initialement découverte par PatchStack. Les détails techniques de cette vulnérabilité peuvent être trouvés sur leur récent article de blog. Plus d’un million de sites Web utilisent ce plugin et les retombées ont été absolument massives, avec plus de 6 000 détections par SiteCheck déjà jusqu’à présent et 1637 détections dans les résultats d’analyse publicWWW.
Naturellement, si vous êtes propriétaire d’un site Web utilisant ce plugin et que vous ne l’avez pas encore fait, corrigez maintenant. Il faut pour cela mettre à jour le plugin au moins vers la version 5.7.2.
La faille de sécurité dans Essential Addons for Elementor
Ce plugin souffre d’une vulnérabilité d’escalade de privilèges non authentifiée et permet à tout utilisateur non authentifié d’escalader son privilège à celui de n’importe quel utilisateur sur le site WordPress.
Il est possible de réinitialiser le mot de passe de n’importe quel utilisateur tant que nous connaissons son nom d’utilisateur, ce qui permet de réinitialiser le mot de passe de l’administrateur et de se connecter à son compte. Cette vulnérabilité se produit car cette fonction de réinitialisation de mot de passe ne valide pas une clé de réinitialisation de mot de passe et modifie directement le mot de passe de l’utilisateur donné. La vulnérabilité décrite a été corrigée dans la version 5.7.2.
Des campagnes d’infection massives de longue durée
Cette campagne est facilement identifiable par sa préférence pour l’utilisation de noms de domaine fraîchement enregistrés hébergeant des scripts malveillants sur des sous-domaines aléatoires, et par des redirections vers divers sites frauduleux, y compris un faux support technique, des gains de loterie frauduleux et, plus récemment, des escroqueries de notification push affichant de fausses pages captcha demandant aux utilisateurs de « Veuillez autoriser à vérifier, que vous n’êtes pas un robot ».
Depuis 2017, l’entreprise Sucuri estime que plus d’un million de sites WordPress ont été infectés par cette campagne. Chaque année, il se classe régulièrement dans le top 3 des infections que qu’elle détecte dans les sites WordPress compromis.
Rien qu’en 2022, le scanner de site Web externe SiteCheck a détecté ce malware plus de 141 000 fois, avec plus de 67% des sites Web avec des ressources bloquées chargeant des scripts à partir de domaines Balada Injector connus. Nous avons actuellement plus de 100 signatures couvrant à la fois les variantes front-end et back-end des logiciels malveillants injectés dans les fichiers serveur et les bases de données WordPress.
Certains se reconnaitront – Je ne reviendrais pas sur l’importance des mises à jour.
Sources :
Vulnerability in Essential Addons for Elementor Leads to Mass Infection
https://blog.sucuri.net/2023/04/balada-injector-synopsis-of-a-massive-ongoing-wordpress-malware-campaign.html
Liens utiles :
Combien de temps pour casser vos mots de passe?
Mises à jour sur WordPress … et autres
Créer des mots de passe : conseils basiques mais essentiels
Mises à jour sur WordPress … et autres
0 Comment