Une vulnérabilité critique a été découverte dans WP-Slimstat, l’un des plugins de statistiques les plus populaires de la plate-forme de gestion de contenu WordPress, mettant en danger plus d’un million de sites face aux pirates.
La vulnérabilité jugée critique réside touche la plupart des versions du plugin WordPress de statistiques Wettable Powder Slimstat (WP-Slimstat). Bien qu’il existe plus de 70 millions de sites Web basés sous WordPress en production sur Internet, plus de 1,3 million d’entre eux utilisent le Plugin “WP-Slimstat“, ce qui en fait l’un des plugins WordPress le plus populaire, permettant d’accéder à des fonctions Web analytique en temps réel sur un site.
Toutes les versions de WP-Slimstat avant la dernière version (3.9.6) contiennent une clé facilement secrète facilement devinable, utilisée pour signer les données envoyées par les visiteurs, a expliqué l’entreprise de sécurité Sucuri dans un billet de blog publié mardi.
Une fois que cette clé est connue, un attaquant peut utiliser une attaque par injection SQL (SQLi) sur le site cible afin de récupérer des informations hautement sensibles de la base de données de la victime, y compris les mots de passe chiffrés et les clés de chiffrement utilisées pour administrer à distance les sites Web. S’il arrive à déchiffrer les accès administrateurs des sites, il aura alors les pleins droits et pourra procéder à l’injection d’un backdoor plus sophistiqué.
“Si votre site utilise une version vulnérable du plugin, vous êtes à haut risque“, explique Marc-Alexandre Montpas, un chercheur en sécurité senior chez Sucuri. “L’exploitation de ce bogue pourrait conduire à des attaques par injection de type Blind SQL, ce qui signifie qu’un attaquant pourrait récupérer toutes les informations sensibles à partir de votre base de données, y compris le nom d’utilisateur, les mots de passe hashés et, dans certaines configurations, les clés secrètes WordPress afin d’avoir un contrôle total“.
Un peu de technique
La clé secrète de WP-Slimstat s’avère être une simple fonction de hachage MD5 de l’horodatage d’installation du plugin. Avec l’utilisation de sites comme Web Internet Archive, un pirate peut facilement identifier l’année d’un site vulnérable. Cela laisserait ensuite à l’attaquant environ 30 millions de valeurs à tester, ce qui pourrait être achevé en 10 minutes avec la plupart des processeurs modernes. Une fois que la clé secrète a été trouvée, l’attaquant peut l’utiliser pour accéder à des données sensibles dans la base de données.
Mise à jour corrective à appliquer en vitesse
Les utilisateurs qui utilisent WordPress pour leurs sites Web et qui disposent du plugin WP-Slimstat doivent impérativement mettre à jour leur installation afin de protéger le site Web de cette vulnérabilité dangereuse.