Des mois après la publication du correctif, les pirates informatiques continuent d'exploiter la faille de sécurité du Plugin WordPress WooCommerce Payments. Les chercheurs ont constaté que la vulnérabilité faisait l'objet d'une attaque active, exhortant les administrateurs de WordPress à mettre à jour immédiatement leurs sites Web avec la dernière version du plugin.
La faille du plugin WooCommerce Payments activement exploitée
En mars, la société de sécurité WordPress Wordfence a donné des précisions sur une grave faille de sécurité dans le plugin WooCommerce Payments.
La vulnérabilité a d'abord attiré l'attention du chercheur Michael Mazzolini de GoldNetwork, dont le rapport a incité les développeurs à corriger la faille avec la version 5.6.2 du plugin.
Cependant, il semble que l'ignorance des administrateurs de WordPress en matière de mise à jour de leurs sites Web ruine les efforts des développeurs, car Wordfence signale maintenant la détection d'une exploitation active de la faille.
Comme expliqué, ils ont détecté une exploitation active de la vulnérabilité à partir du 14 juillet 2023, pour cibler différents sites web. Ce qui est particulier dans cette campagne, c'est que les attaquants abusent de cette faille contre un ensemble spécifique de sites Web au lieu de cibler massivement des sites Web aléatoires.
Par ailleurs, l'équipe de Wordfence a également observé un pic dans les demandes d'énumération de plugins à la recherche d'une readme.txt dans le fichier wp-content/plugins/woocommerce-payments/ répertoire des sites web. Ils ont expliqué que ces demandes n'étaient pas toutes malveillantes. Pourtant, ce comportement a tiré la sonnette d'alarme, faisant découvrir à Wordfence les tentatives d'exploitation.
Les chercheurs ont constaté que ces demandes étaient générées par des milliers d'IP, ce qui rendait le blocage d'IP inadapté aux défenseurs. Cependant, toutes les demandes malveillantes portaient l'en-tête X-Wcpay-Platform-Checkout-User: 1qui incite le site à considérer les demandes entrantes comme des demandes d'administration. Les attaquants générant ces demandes ont ensuite tenté d'installer le plugin WP Console pour réaliser une exécution de code à distance sur les sites web cibles.
En plus de Wordfence, RCE Security a partagé un exploit PoC pour cette faille dans un billet séparé.
Comme le montre la page officielle de WordPress, le plugin peut se vanter d'avoir plus de 600 000 installations actives. Parmi celles-ci, seuls 40,5 % des sites Web utilisent les dernières versions du plugin. En comparaison, le journal des modifications indique que la version 6.2.0 du plugin est la plus récente.
Compte tenu de la gravité de la faille et de son exploitation active, les administrateurs doivent immédiatement mettre à jour leurs sites Web WordPress avec la dernière version du plugin.
Fais-nous part de tes réflexions dans les commentaires.
