Une faille WordPress qui peut conduire à la destruction du site

Une faille WordPress qui peut conduire à la destruction du site

WordPress est le CMS le plus populaire sur le web. Selon w3tech, il est utilisé par environ 30% des sites Web.

Cette large adoption en fait une cible intéressante pour les cybercriminels. Dans ce billet, nous allons introduire une vulnérabilité de suppression de fichier arbitraire authentifiée dans le noyau WordPress qui peut conduire à l’exécution de code arbitraire par des attaquants.

La vulnérabilité a été signalée il y a 7 mois à l’équipe de sécurité de WordPress mais n’a pas encore été corrigée… Le temps qui s’est écoulé depuis le rapport initial, sans correctif, a conduit RIPSTECH à le rendre public.

Qui est concerné

Au moment de la rédaction du présent article, aucun correctif empêchant cette vulnérabilité n’est disponible.

Toute version de WordPress, y compris la version 4.9.6 actuelle (juin 2018), est sensible à la vulnérabilité décrite ici !

Pour exploiter la vulnérabilité discutée dans ce qui suit, un attaquant aurait besoin d’obtenir les privilèges pour éditer et supprimer les fichiers multimédias (auteur, éditeur, administrateur…) au préalable.

Ainsi, la vulnérabilité peut être utilisée pour escalader les privilèges obtenus par la prise de contrôle d’un compte avec un rôle d’auteur, ou par l’exploitation d’une autre vulnérabilité/mauvaise configuration.

Que peut faire un attaquant ?

Exploiter la vulnérabilité donne à un attaquant la possibilité de supprimer n’importe quel fichier de l’installation WordPress (+ tout autre fichier sur le serveur sur lequel l’utilisateur du processus PHP a les permissions appropriées pour supprimer). Outre la possibilité d’effacer toute l’installation de WordPress, ce qui peut avoir des conséquences désastreuses si aucune sauvegarde actuelle n’est disponible, un attaquant peut utiliser la capacité de suppression arbitraire de fichiers pour contourner certaines mesures de sécurité et exécuter du code arbitraire sur le serveur web. Plus précisément, les fichiers suivants peuvent être supprimés :

  • .htaccess : En général, la suppression de ce fichier n’a aucune conséquence sur la sécurité. Cependant, dans certains cas, le fichier.htaccess contient des contraintes liées à la sécurité (par exemple, des contraintes d’accès à certains dossiers). La suppression de ce fichier désactiverait ces contraintes de sécurité.
  • index.php : Souvent, les fichiers index.php vides sont placés dans des répertoires pour empêcher l’inscription dans les répertoires dans le cas où le serveur Web ne le fait pas. Supprimer ces fichiers donnerait à un attaquant une liste de tous les fichiers dans les répertoires protégés par cette mesure.
  • wp-config.php : La suppression de ce fichier d’une installation WordPress déclencherait le processus d’installation WordPress lors de la prochaine visite sur le site Web. Ceci est dû au fait que wp-config.php contient les informations d’identification de la base de données, et sans sa présence, WordPress agit comme s’il n’avait pas encore été installé. Un attaquant pourrait supprimer ce fichier, subir le processus d’installation avec les informations d’identification de son choix pour le compte administrateur et, finalement, exécuter du code arbitraire sur le serveur.

Heureusement, RIPSTECH propose un HotFix.

La correction peut être intégrée dans une installation WordPress existante en l’ajoutant au fichier functions.php du thème/thème enfant actuellement actif.

Tous les détails et une vidéo dans l’article de RIPSTECH ICI !

dolor. mi, dolor Lorem in Praesent suscipit neque.