Un plugin WordPress appelé «ThemeGrill Demo Importer» a exposé 200 000 sites Web à des pirates
Les systèmes de gestion de contenu (CMS) comme WordPress ont complètement transformé le processus de création et de maintenance d'un site Web. À l'heure actuelle, la création d'un site Web peut être aussi simple que la configuration d'une installation WordPress et l'ajout de contenu. Les personnes qui ont écrit des sites entiers à partir de zéro créent maintenant des thèmes et des plugins CMS qui vous aident à modifier et à personnaliser votre propre site Web en quelques clics de souris. C'est beaucoup plus pratique et, plus important encore, beaucoup moins cher qu'auparavant. Il y a cependant un compromis.
Les personnes qui écrivent des thèmes et des plugins pour des plates-formes comme WordPress font des erreurs de temps en temps, et quand elles le font, les erreurs n'affectent pas un seul site Web. Un seul bogue peut provoquer des problèmes pour des milliers de sites Web, et si le problème est lié à la sécurité, les conséquences peuvent être assez dévastatrices. Une vulnérabilité récemment découverte dans le plugin ThemeGrill Demo Importer pour WordPress nous a montré à quel point les choses pouvaient être mauvaises.
ThemeGrill a laissé un bogue qui aurait pu permettre aux pirates d'effacer des sites Web entiers
ThemeGrill développe des thèmes premium pour WordPress, et il propose également un plugin appelé ThemeGrill Demo Importer, qui permet aux administrateurs d'importer facilement des thèmes et des paramètres directement sur leurs sites Web. Si vous avez un site Web basé sur WordPress et si vous utilisez l'importateur de démonstration ThemeGrill, vous devez vous assurer que le plugin est mis à jour vers sa dernière version. Les chercheurs de WebARX ont découvert que toutes les incarnations du plugin entre ThemeGrill Demo Importer 1.3.4 et ThemeGrill Demo Importer 1.6.1 sont affectées par une vulnérabilité de sécurité critique qui peut laisser des pirates informatiques faire des ravages complets.
Le problème réside dans une fonction appelée reset_wizard_actions, qui est chargée lorsque le plugin détecte un thème ThemeGrill actif. La fonction se connecte à admin_init qui ne fonctionne normalement que dans un environnement administrateur. Cependant, il peut également appeler /wp-admin/admin-ajax.php, et les chercheurs ont découvert que lors de l'interaction avec ce fichier, reset_wizard_actions ne vérifie pas si un utilisateur est authentifié.
À l'aide de charges utiles soigneusement conçues, les pirates peuvent soit effacer tout le contenu d'un site Web vulnérable, soit assumer des droits administratifs et faire plus ou moins ce qu'ils veulent avec.
ThemeGrill a corrigé le plugin
Le rapport WebARX montre que la divulgation du problème et l'aide à la correction n'ont pas été l'expérience la plus fluide, mais nous devons souligner que nous avons vu bien pire. Les chercheurs ont envoyé leur premier rapport le 6 février. Après n'avoir reçu aucune réponse pendant cinq jours, ils ont essayé de reprendre contact avec ThemeGrill. Le 14 février, le développeur a finalement répondu, et dans les deux jours, une nouvelle version qui résout le problème a été publiée.
Le fait que la vulnérabilité soit corrigée est une bonne nouvelle, mais ce n'est que la moitié de l'histoire. ThemeGrill Demo Importer 1.3.4, la version qui a introduit le bogue, a été publié il y a trois ans, et tous les sites Web qui utilisaient le plug-in entre ce moment et dimanche lorsque le correctif a été publié ont été exposés. Bien qu'il n'y ait aucune preuve d'exploitation dans la nature, la plupart des 200 000 sites Web sur lesquels ThemeGrill Demo Importer est installé utilisent encore des versions vulnérables du plugin, ce qui signifie que nous pourrions voir les victimes de la vulnérabilité très bientôt.
C'est là que réside le gros problème. Selon W3Techs, WordPress alimente plus de 35% de tous les sites Web à travers le monde. Il existe tout un écosystème prenant en charge le CMS, et des millions de personnes l'utilisent parce que maintenir un site Web avec lui est à peu près aussi simple que possible. Malheureusement, l'expérience nous a appris que les mises à jour de sécurité et les correctifs ne figurent pas en tête de liste de priorités de beaucoup de ces personnes. Si Internet doit devenir un endroit plus sûr, cela doit changer.