Un trio de vulnérabilités zero-day critiques dans les plugins WordPress a exposé 160,000 XNUMX sites Web à des attaques après qu'un chercheur en sécurité a révélé publiquement les failles avant que les correctifs ne soient disponibles.
Les publications liées à Yuzo et les plugins personnalisés WordPress WordPress Customizer utilisés par 60,000 30,000 et XNUMX XNUMX sites Web respectivement ont été critiqués lorsque leurs violations de code sont devenues publiques en ligne.
Lorsque les publications Zero Day ont été publiées, les deux plugins ont été supprimés du référentiel de plugins WordPress, ce qui a amené les sites Web à supprimer les plugins, sinon ils pourraient s'attaquer eux-mêmes. Yellow Pencil a publié un correctif trois jours après la publication de la vulnérabilité, mais le plug-in Yuzo Related Posts reste fermé car aucun correctif n'a été apporté.
De plus, le plugin Social Warfare, utilisé par 70,000 XNUMX sites, a été touché par des exploits insensés après la publication publique de failles de sécurité dans son code. Les développeurs du plugin ont rapidement corrigé la faille, mais il était malheureusement trop tard car les sites qui l'utilisaient étaient déjà piratés.
Vulnérabilités des plugins.
Les trois plugins vulnérables ont été piratés pour rediriger les visiteurs vers des sites faisant la promotion d'escroqueries au support technique et d'autres types de fraude en ligne.
Cependant, un point commun à tous est le fait que les vulnérabilités se sont produites après qu'un site appelé Plugin Vulnerabilities a publié des articles détaillés qui ont révélé les vulnérabilités sous-jacentes. Ces messages comprenaient suffisamment de détails techniques et de code d'exploitation de preuve de concept pour que les pirates puissent facilement utiliser ces informations pour attaquer les plugins vulnérables et aggraver les choses, et une partie du code utilisé dans les attaques est clairement copié. collé à partir du plugin posts. Vulnérabilités
Une fois les vulnérabilités liées au crayon jaune et à la question de la guerre sociale découvertes, des hackers les ont exploitées en quelques heures. Au jour zéro, The Yuzo Related Posts était en liberté pendant 11 jours avant d'être exploité.
Le chercheur en sécurité des vulnérabilités des plug-ins, responsable de la publication d'articles détaillant les vulnérabilités zero-day, a expliqué pourquoi il avait choisi de le faire. Ars Technica, en disant:
"Notre politique de divulgation actuelle est de divulguer toutes les vulnérabilités, puis de signaler au développeur via le forum de support WordPress, même si les modérateurs sont présents... trop souvent, supprimez simplement ces messages et ne signalez personne."
Fondamentalement, le chercheur en sécurité a décidé de publier des vulnérabilités zero-day sur son propre site après que ses publications sur les vulnérabilités aient été supprimées du forum de support WordPress pour violation de ses règles. Bien qu'informer les développeurs des vulnérabilités « zero-day » soit une chose, les publier publiquement dans un endroit accessible à tous, y compris aux pirates informatiques, est une toute autre histoire.
via Ars Technica