Selon un nouveau rapport Patchstack, les pirates exploitent activement 2 vulnérabilités critiques dans le plugin Houzez pour WordPress, utilisé principalement sur les sites Web immobiliers.
Permettez-moi de vous rappeler que nous avons également écrit cela Développeur de logiciels de commerce électronique PoissonCochon Piraté lors d'une attaque massive de la chaîne d'approvisionnement, et aussi que Un hacker de Fast Company déclare que « n’importe qui aurait pu le faire ».
Les spécialistes de la sécurité de l'information ont déclaré que Les pirates scannés 1.6 Million WordPress Sites recherchant un plugin vulnérable.
Houzez est un plugin de plan premium qui offre une gestion facile des publicités et un service client transparent. Le site Web du fabricant affirme qu'il sert plus 35,000 clients immobiliers.
Les bugs ont été découverts par Pile de correctifs chercheur en menaces Dave Young, qui les a également signalés au développeur de thèmes ThemeForest. L'un d'eux a été corrigé dans la version 2.6.4 en août 2022, et l'autre en version 2.7.2 en novembre 2022.
Le rapport Patchstack prévient que certains sites Web n'ont pas appliqué la mise à jour de sécurité, et les acteurs de la menace exploitent activement ces failles dans les attaques en cours. Et en ce moment, un grand nombre d'attaques proviennent de l'adresse IP 103.167.93.138.
- CVE-2023-26540 (CVSS: 9.8) est lié à une mauvaise configuration de sécurité et peut être utilisé à distance par un pirate informatique non autorisé pour élever des privilèges. Le problème affecte la version du plugin Houzez 2.7.1 et plus haut. Le correctif est disponible dans Houzez 2.7.2 ou plus tard.
- CVE-2023-26009 (CVSS: 9.8) permet à un attaquant non authentifié d'élever ses privilèges. Affecte la version du plugin Houzes Login Register 2.6.3 et plus haut. Le correctif est disponible dans la version Houzez Login Register 2.6.4 ou plus tard.
D'après Jong, les pirates exploitent ces vulnérabilités en envoyant une requête à un point final qui écoute les demandes de création de compte. En raison d'un bug dans la validation côté serveur, la demande peut être conçue pour créer un utilisateur administrateur sur le site, permettant à l'attaquant de prendre le contrôle total du site WordPress.
Dans les attaques vues par Patchstack, les attaquants ont téléchargé une porte dérobée capable d'exécuter des commandes, placer des annonces sur le site, ou rediriger le trafic vers d'autres sites malveillants. Après cela, les cybercriminels peuvent faire ce qu'ils veulent avec le site, mais ils téléchargent généralement un plugin malveillant contenant une porte dérobée.
Laissez un commentaire