La nouvelle vulnérabilité zero-day du plugin BackupBuddy expose les utilisateurs de WordPress à des risques

La Nouvelle Vulnérabilité Zero Day Du Plugin Backupbuddy Expose Les Utilisateurs

Pourquoi c’est important : le développeur de plugins WordPress, iThemes, a alerté les utilisateurs d’une vulnérabilité liée à leur extension BackupBuddy plus tôt cette semaine. La faille de sécurité laisse les utilisateurs du plugin vulnérables à un accès non autorisé par des acteurs malveillants, leur offrant la possibilité de voler des fichiers et des informations sensibles. La faille affecte tous les sites exécutant BackupBuddy 8.5.8.0 à 8.7.4.1. Les utilisateurs doivent mettre à jour vers la version 8.7.5 pour corriger le problème.

Selon les chercheurs d’iThemes, les pirates exploitent activement la vulnérabilité (CVE-2022-31474) sur les systèmes impactés en utilisant des versions spécifiques du plugin BackupBuddy. L’exploit permet aux attaquants d’afficher le contenu de n’importe quel fichier accessible par WordPress sur le serveur affecté. Cela inclut ceux qui contiennent des informations sensibles, notamment /etc/passwd, /wp-config.php, .my.cnf et .accesshash. Ces fichiers peuvent fournir un accès non autorisé aux détails de l’utilisateur du système, aux paramètres de la base de données WordPress et même aux autorisations d’authentification sur le serveur concerné en tant qu’utilisateur root.

Les administrateurs et les autres utilisateurs peuvent prendre des mesures pour déterminer si leur site a été compromis. Les utilisateurs autorisés peuvent consulter les journaux d’un serveur impacté contenant local-destination-id et /etc/passed ou wp-config.php qui renvoient un code de réponse HTTP 2xx, indiquant qu’une réponse réussie a été reçue.

La nouvelle vulnerabilite zero day du plugin BackupBuddy expose les utilisateurs

Le développeur de solutions de sécurité WordPress Wordfence a identifié des millions de tentatives d’exploitation de la vulnérabilité depuis le 26 août. Selon les chercheurs en sécurité de Wordfence, les utilisateurs et les administrateurs doivent vérifier les journaux du serveur pour les références au dossier local-destination-id susmentionné et au dossier local-download. Le PSA a ensuite dressé la liste des principales adresses IP associées aux tentatives d’attaques, notamment :

  • 195.178.120.89 avec 1 960 065 attaques bloquées
  • 51.142.90.255 avec 482 604 attaques bloquées
  • 51.142.185.212 avec 366 770 attaques bloquées
  • 52.229.102.181 avec 344 604 attaques bloquées
  • 20.10.168.93 avec 341 309 attaques bloquées
  • 20.91.192.253 avec 320 187 attaques bloquées
  • 23.100.57.101 avec 303 844 attaques bloquées
  • 20.38.8.68 avec 302 136 attaques bloquées
  • 20.229.10.195 avec 277 545 attaques bloquées
  • 20.108.248.76 avec 211 924 attaques bloquées

Les chercheurs d’iTheme fournissent aux utilisateurs compromis de BackupBuddy plusieurs étapes conçues pour atténuer et empêcher tout accès non autorisé. Ces étapes incluent la réinitialisation des mots de passe de la base de données WordPress, la modification des sels WordPress, la mise à jour des clés API stockées dans le fichier wp-config.php et la mise à jour des mots de passe et des clés SSH. Les clients nécessitant une assistance supplémentaire peuvent soumettre des tickets d’assistance via le service d’assistance iThemes.